CVE-2020-28502
なんか2021年に見つけたのに2020年ってことになってしまった (まあいい)
npm:xmlhttprequest@<=1.6.0 と npm:xmlhttprequest-ssl@* で条件によっては
Arbitrary Code Injection
ができる
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28502
snyk
に報告した
https://snyk.io/vuln/SNYK-JS-XMLHTTPREQUEST-1082935
https://snyk.io/vuln/SNYK-JS-XMLHTTPREQUESTSSL-1082936
#CVE
#発見者俺