Уязвимость BDU:2021-02843

Идентификатор: BDU:2021-02843.

Наименование уязвимости: Уязвимость функций VisitMixin и visitMixinBlock препроцессора HTML Pug, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость функций VisitMixin и visitMixinBlock препроцессора HTML Pug связана с недостатками процедуры нейтрализации особых элементов в выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Прикладное ПО информационных систем Pug до 3.0.1 | Прикладное ПО информационных систем pug-code-gen до 2.0.3 | Прикладное ПО информационных систем pug-code-gen от 3.0.0 до 3.0.2 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 10.02.2021.
CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/pugjs/pug/pull/3314.
Статус уязвимости: Подтверждена в ходе исследований
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-21353.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.ibm.com/blogs/psirt/security-bulletin-a-security-vulnerability-in-node-js-pug-and-pug-code-gen-module-affects-ibm-cloud-pak-for-multicloud-management-managed-service/
https://github.com/pugjs/pug/commit/991e78f7c4220b2f8da042877c6f0ef5a4683be0
https://github.com/pugjs/pug/issues/3312
https://github.com/pugjs/pug/pull/3314
https://github.com/pugjs/pug/releases/tag/pug%403.0.1
https://github.com/pugjs/pug/security/advisories/GHSA-p493-635q-r6gr
https://www.npmjs.com/package/pug
https://www.npmjs.com/package/pug-code-gen