Patch d'une vulnérabilité reliée aux dépendances du projet

[aexko]

La description

Si un attaquant distant était capable de contrôler l'option pretty du compilateur pug, ex: si vous diffusez un objet fourni par l'utilisateur, tel que les paramètres de requête d'une requête dans les entrées du modèle pug, il leur est possible d'exécuter du code à distance sur le backend Node.js.

Corrections

Mettre à niveau vers pug@3.0.1 ou pug-code-gen@3.0.2, qui nettoient correctement le paramètre.

Type de changement

• Correction de bogue (changement ininterrompu qui résout un problème)
• Nouvelle fonctionnalité (changement ininterrompu qui ajoute des fonctionnalités)
• Modification avec rupture (correction ou fonctionnalité qui empêcherait la fonctionnalité existante de fonctionner comme prévu)
• Cette modification nécessite une mise à jour de la documentation

Comment cela a-t-il été testé ?

J'ai configuré un bot qui s'appelle Dependabot (GitHub) qui vérifie les vulnérabilités liées aux dépendances du projet. Il n'y a pas de tests nécessaires puisque le bot vérifie par lui-même de façon automatique la détection d'erreurs

• Matériel: Dependabot

Liste de contrôle :

• Mon code suit les directives de style de ce projet
• Mes modifications ne génèrent aucun nouvel avertissement
• J'ai ajouté des tests qui prouvent que mon correctif est efficace ou que ma fonctionnalité fonctionne

Références

Vulnérabilité d'injection de code dans visitMixin et visitMixinBlock via l'option pretty : pugjs/pug#3312