esm.sh — это не требующая создания сеть доставки контента (CDN) для веб-разработки. В версии 136 esm.sh уязвим для SSRF с полным ответом, что позволяет злоумышленнику получать информацию с внутренних веб-сайтов с помощью этой уязвимости. Версия 137 устраняет уязвимость.
Показать оригинальное описание (EN)
esm.sh is a no-build content delivery network (CDN) for web development. In version 136, esm.sh is vulnerable to a full-response SSRF, allowing an attacker to retrieve information from internal websites through the vulnerability. Version 137 fixes the vulnerability.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 6
https://github.com/esm-dev/esm.sh/blob/f80ff8c8d58749e77fa964abde468fc61f8bd89e…
security-advisories@github.com
https://github.com/esm-dev/esm.sh/blob/f80ff8c8d58749e77fa964abde468fc61f8bd89e…
security-advisories@github.com
https://github.com/esm-dev/esm.sh/commit/0593516c4cfab49ad3b4900416a8432ff2e23e…
security-advisories@github.com
https://github.com/esm-dev/esm.sh/pull/1149
security-advisories@github.com
https://github.com/esm-dev/esm.sh/releases/tag/v137
security-advisories@github.com
https://github.com/esm-dev/esm.sh/security/advisories/GHSA-3c9r-837r-qqm4
security-advisories@github.com