| 长年不更新的去检查检查 ,我在我博客/wp-content/plugins/jQuery-emoji找到了,我也不懂把这个js升级到最新版了
机翻 GruntJS中的file.copy操作容易受到TOCTOU竞争条件的影响,导致在1.5.3之前在GitHub存储库gruntjs/grunt中任意写入文件。如果低特权用户同时具有源目录和目标目录的写入权限,则该漏洞能够进行任意文件写入,这可能会导致本地权限升级到GruntJS用户,因为低特权用户可以创建指向GruntJS用户的.bashrc文件的符号链接,如果GruntJS用户是root,则可以替换/etc/shadow文件。 原文 https://nvd.nist.gov/vuln/detail/CVE-2022-1537 CVE词典条目: CVE-2022-1537 NVD发布日期: 2022年5月10日 NVD 最后修改: 2022年5月16日 |