Исходное сообщение
"RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 м..." Отправлено Аноним, 11-Янв-23 14:27
> в коде JsonWebToken это не учитывается и он всегда разбирается как строка с использованием метода toString() Как раз-таки учитывается, именно поэтому и приводится явно к строке, потому как и строка, и буфер имеют метод toString(). В оригинальной реализации все сделано верно, это клиент библиотеки должен подсовывать ему аргумент правильного типа. И нет, библиотека не должна делать instanceof Buffer, поскольку: 1) программировать следует на уровне интерфейса, а не на уровне реализации, 2) instanceof Buffer не защитит от кастомных методов toString (Object.assign(new Buffer(), { toString: () => 'PWNED' })) Вердикт: новость насквозь желтая.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке: