发布日期：2020-09-03
更新日期：2020-09-21

受影响系统：

grunt grunt < 1.3.0

描述：

---

CVE(CAN) ID: CVE-2020-7729

Grunt 是基于 Node.js 的项目构建工具。
grunt 1.3.0之前版本存在任意代码执行漏洞。该漏洞产生的原因是grunt.file.readYAML内的js-yaml软件包默认使用load（）函数而非safeLoad()。攻击者可利用该漏洞执行任意代码。

<**>

建议：

---

厂商补丁：

grunt
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
https://snyk.io/vuln/SNYK-JAVA-ORGWEBJARSNPM-607922

浏览次数：893
严重程度：0（网友投票）