node-red-contrib-humagic 3.0.0任意文件读取(CVE-2021-25864)

威胁等级
高危
漏洞分类
任意文件读取
影响资产分类
应用服务
检索条件
游客用户没有权限查看,请登录
DVB
DVB-2022-3883
CVE
CVE-2021-25864
CNVD
-
CNNVD
-

漏洞描述

node-red是一个低代码开发系统,在代码托管平台有15k的star,node-red-contrib-humagic 3.0.0 受 res.sendFile API 中的 hue/assets/..%2F Directory Traversal.in 的影响,在文件 hue-magic.js 中使用,以获取任意文件。

漏洞详情

游客用户没有权限查看,请登录

修复建议

请关注厂商的修复版本,并及时更新到最新版本.