关键漏洞信息 漏洞概述 CVE ID: CVE-2021-29418 GHSA ID: GHSA-pch5-whg9-qr2r 漏洞名称: netmask npm package mishandles octal input data 严重性: 中等 (Moderate) CVSS 评分: 5.3/10 影响范围 受影响版本: < 2.0.1 已修复版本: 2.0.1 描述 netmask包在Node.js的2.0.1版本之前,会错误处理IP地址字符串中的某些意外字符,如八进制数字9。在某些情况下,这允许攻击者绕过基于IP地址的访问控制。注意:该问题的存在是由于CVE-2021-28918的一个不完整的修复。 参考资料 rs-node-netmask@3f19a05 https://sick.codes/sick-2021-011 https://sick.codes/universal-netmask-npm-package-used-by-270000-projects-vulnerable-to-octal-input-data-server-side-request-forgery-remote-file-inclusion-local-file-inclusion-and-more-cve-2021-28918/ https://www.npmjs.com/package/netmask https://nvd.nist.gov/vuln/detail/CVE-2021-29418 https://vuln.ryotak.me/advisories/6 https://security.netapp.com/advisory/ntap-20210604-0001/ 发布和更新记录 审查日期: 2021年3月30日 发布日期: 2021年3月30日 最后更新: 2023年9月9日