【高危】NPM组件 @capacitor-bmo/biometric 等窃取主机敏感信息
漏洞描述
当用户安装受影响版本的 @capacitor-bmo/biometric 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。
| MPS编号 | MPS-ulta-dq1b |
|---|---|
| 处置建议 | 强烈建议修复 |
| 发现时间 | 2025-08-17 |
| 投毒仓库 | npm |
| 投毒类型 | 主机信息收集 |
| 利用成本 | 低 |
| 利用可能性 | 中 |
影响范围
| 影响组件 | 受影响的版本 | 最小修复版本 |
|---|---|---|
| ember-lts-4.4 | [1.0.0, 2.0.0] | - |
| gannache | [5.2.3, 5.2.3] | - |
| azure-arm-parameterflattening | [5.1.1, 5.1.4] | - |
| winston-log | [1.0.0, 1.4.0] | - |
| ionic-insta-api-wrapper | [1.0.0, 1.0.2] | - |
| @z3r0whales/comms | [2.0.1, 2.0.1] | - |
| coronavirus-calculator | [1.0.0, 2.0.0] | - |
| ganachhe | [5.2.3, 5.2.3] | - |
| meid-cli | [0.0.1, 1.0.10] | - |
| vite-plugin-netx-project | [1337.0.0, 1337.0.0] | - |
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
