根据用户的要求,我需要从提供的截图中提取关于漏洞的关键信息,并用简洁的中文markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 漏洞名称: Command Injection in lodash (lodash 中的命令注入漏洞)。 来源: GitHub Advisory Database (GitHub 咨询数据库)。 CVE ID: CVE-2021-23337。 严重性 (Severity): 高 (High),评分 7.2/10。 描述 (Description): lodash 版本早于 4.17.21 的版本在 函数中存在命令注入漏洞。 CVSS 评分: 7.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)。 EPSS 评分: 0.043 (过去30天)。 漏洞类型: 命令注入 (Command injection)。 影响: 机密性 (Confidentiality)、完整性 (Integrity)、可用性 (Availability) 均为高 (High)。 2. 影响范围 (Affected Versions): 受影响版本: (这里看起来有点奇怪,可能是指特定分支或范围,但主要看下面的修复版本) -> 仔细看截图,受影响版本列出了 , (可能是指某些特定子包或范围,但通常指小于修复版), , 。 具体包名: , , , , 。 修复版本 (Patched versions): (针对 , , )。 (针对 )。 (针对 和 的某些条目,这可能意味着这些包没有修复或者已经废弃,或者截图显示不全,但主要修复版本是 4.17.21)。 3. 修复方案 (Remediation): 升级版本: 将 及其相关包(如 , )升级到 或更高版本。 参考链接: 提供了多个参考链接,包括 NVD (nvd.nist.gov)、GitHub 安全公告、以及相关的 CVE 页面。 4. 代码/POC: 截图中没有直接显示 POC 代码或利用代码块。只有描述和参考链接。 5. 其他信息: 发布时间: 2021年5月7日。 最后更新: 2021年8月13日。 来源: 由 National Vulnerability Database (NVD) 发布。 总结结构: 标题: 漏洞名称 概述: 简述漏洞类型、CVE ID、严重性。 影响范围: 列出受影响的包和版本。 修复方案: 建议升级到的版本。 代码: 说明无代码。 现在将这些信息整理成最终的 Markdown 格式。 漏洞总结:Command Injection in lodash 漏洞概述 漏洞名称: Command Injection in lodash (lodash 中的命令注入漏洞) CVE ID: CVE-2021-23337 严重性: 高 (High) - CVSS 评分 7.2/10 描述: lodash 版本早于 4.17.21 的版本在 函数中存在命令注入漏洞。攻击者可以通过构造恶意输入执行任意系统命令。 影响: 机密性、完整性和可用性均受到高度影响。 影响范围 以下包在指定版本范围内受影响: lodash: lodash-es: lodash-fallback: (修复版本显示为 None,可能需移除或寻找替代) lodash-template: lodash.template: (修复版本显示为 None) 修复方案 升级版本: 将受影响的包升级到 4.17.21 或更高版本。 -> -> -> 注意: 对于 和 ,截图中显示修复版本为 "None",建议检查是否仍在使用这些包,或寻找替代方案。 代码/POC 截图中未包含具体的 POC 代码或利用代码。 参考链接 NVD (nvd.nist.gov) GitHub Advisory Database (链接在 References 列表中)