5.3. 已解决的问题
CVE-2023-26159: 在 1.15.4 之前 的后续重定向 软件包会受到 Improper Input Validation 的影响
1.15.4 之前 的后续重定向 软件包版本容易受到 Improper 输入验证的影响。此漏洞是由于 url.parse () 函数处理 URL 不正确。当新 URL 返回错误时,可以对其进行操作来误解主机名。攻击者可能会利用这种弱点来将流量重定向到恶意网站,从而可能导致信息泄露、辨别攻击或其他安全漏洞。
如需了解更多详细信息,请参阅 (CVE-2023-26159)。
CVE-2022-25883: 在 node-semver 软件包中发现了正则表达式服务(ReDoS)漏洞
7.5.2 之前的 semver npm 软件包的版本容易受到 Regular Expression Denial Service (ReDoS)的影响。当不受信任的用户数据作为范围提供时,这个 ReDoS 漏洞来自 新的 Range 功能。
如需了解更多详细信息,请参阅 (CVE-2022-25883)。
CVE-2023-26136: 在 4.1.3 之前使用 tough-cookie 软件包会受到 Prototype Pollution 的攻击
4.1.3 之前的 tough-cookie 软件包的版本容易受到 Prototype Pollution 的攻击。此漏洞是在 rejectPublicSuffixes=false 模式下使用 CookieJar 时不正确的处理 Cookie。此问题源自初始化对象的方式。
如需了解更多详细信息,请参阅 (CVE-2023-26136)。
CVE-2023-35116: jackson-databind before 2.15.2 会受到 Denial Service 或其他未指定影响的影响
2.15.2 之前 Jackson-databind 库版本会受到 Denial Service (DoS)攻击,或使用 cyclic 依赖项的精心设计的对象或其他未指定影响。
如需了解更多详细信息,请参阅 (CVE-2023-35116)。
有关本发行版本中解决的所有问题的完整列表,请参阅 JIRA 中的 MTR 1.2.4 解决的问题 列表。
