Share
## https://sploitus.com/exploit?id=B7765299-6717-5219-BD88-650BBD154A73
# 漏洞信息:CVE-2024-21534

`jsonpath-plus` 包(版本 <=10.0.7)存在严重的远程代码执行(RCE)漏洞,允许攻击者通过 Node.js 的 VM 模块执行任意代码。该漏洞由于输入验证不严格导致,影响版本为 10.0.7 以下,**CVSS 分数为 9.8(极其严重)**。漏洞首次公开于 2024 年 10 月 11 日。

### 漏洞详情

虽然在版本 10.0.0 中曾尝试修复此问题,但特定的攻击方式仍可利用该漏洞(详见 [Issue #226](https://github.com/JSONPath-Plus/JSONPath/issues/226))。

---

## 如何复现

### 准备工作

1. 安装 Docker。
2. 克隆此漏洞验证代码库:

   ```bash
   git clone https://github.com/your-username/CVE-2024-XXXX-PoC.git
   cd CVE-2024-XXXX-PoC
   ```

### 注意

特别感谢 Andrea Angelo Raineri 发现并报告该漏洞,并协助验证相关攻击方式。