CVE-2025-1302
KrytyczneStreszczenie
Wersje pakietu jsonpath-plus przed 10.3.0 są podatne na zdalne wykonanie kodu (RCE) z powodu niewłaściwej sanitizacji danych wejściowych. Atakujący może wykonać dowolny kod na systemie, wykorzystując niebezpieczne domyślne ustawienie trybu eval='safe'.
Ocena ryzyka
Podatność ta może prowadzić do poważnych naruszeń bezpieczeństwa, umożliwiając atakującym zdalne wykonywanie kodu na systemach organizacji. Może to skutkować utratą danych lub przejęciem kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację pakietu jsonpath-plus do wersji 10.3.0 lub nowszej, aby usunąć tę podatność. Należy również przeanalizować i poprawić wszelkie inne potencjalne luki w zabezpieczeniach związane z sanitizacją danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Versions of the package jsonpath-plus before 10.3.0 are vulnerable to Remote Code Execution (RCE) due to improper input sanitization. An attacker can execute aribitrary code on the system by exploiting the unsafe default usage of eval='safe' mode. **Note:** This is caused by an incomplete fix for [CVE-2024-21534](https://security.snyk.io/vuln/SNYK-JS-JSONPATHPLUS-7945884).

