Masudul Hasan Masud Bhuiyan

**Nome do software vulnerável e versões afetadas** Versões do deep-get-set anteriores àquela que contém uma correção completa para o problema **Descrição** O problema está relacionado à contaminação de protótipos (Prototype Pollution) por meio da função `deep` no pacote deep-get-set. Esse problema decorre de uma correção incompleta de uma falha anterior. **Recomendações** Para todas as versões do deep-get-set, considere desativar a função `deep` como uma solução temporária até que uma correção completa esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** mout (versões afetadas não especificadas) **Descrição** O problema diz respeito às funções `deepFillIn` e `deepMixIn`, que podem ser exploradas devido à falta de verificações de chaves ao acessar o objeto de destino de forma recursiva. Isso permite a exploração da vulnerabilidade. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 0.0.0 e posteriores do sds **Descrição** A vulnerabilidade permite que a biblioteca seja induzida a adicionar ou modificar propriedades do `Object.prototype`. Isso é feito através do uso indevido da função `set`, localizada em `js/set.js`. **Recomendações** Para a versão 0.0.0 do sds, considere restringir o acesso à função `set` em `js/set.js` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do convict anteriores à 6.2.2 **Descrição** A vulnerabilidade permite a contaminação de protótipos (Prototype Pollution) por meio da função convict devido à falta de validação de `parentKey`. Isso poderia permitir que um invasor injetasse atributos usados em outros componentes ou substituísse atributos existentes por tipos incompatíveis, levando potencialmente a uma falha no sistema. O principal uso do Convict é para lidar com configurações do lado do servidor e, embora seja improvável que um administrador sabote seu próprio servidor, um administrador desinformado poderia ser induzido a escrever código JavaScript malicioso nos arquivos de configuração. **Recomendações** Para versões do convict anteriores à 6.2.2, atualize para convict@6.2.3 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos arquivos de configuração para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do madlib-object-utils anteriores à 0.1.8 **Descrição** A vulnerabilidade permite que um invasor execute uma “Prototype Pollution” (contaminação de protótipos) por meio do método `setValue`, possibilitando a fusão de protótipos de objetos nele. Essa vulnerabilidade é resultado de uma correção incompleta. **Recomendações** Para versões anteriores à 0.1.8, atualize para a versão 0.1.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do método `setValue` até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do set-in anteriores à 2.0.3 **Descrição** A vulnerabilidade permite que um invasor execute uma “contaminação de protótipos” (Prototype Pollution) por meio do método `setIn`, possibilitando a fusão de protótipos de objetos nele. Esse problema decorre de uma correção incompleta de uma vulnerabilidade anterior. **Recomendações** Para versões anteriores à 2.0.3, atualize para a versão 2.0.3 ou posterior para resolver o problema. Como solução temporária, considere desativar o método `setIn` até que um patch esteja disponível. Restrinja o acesso ao método `setIn` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** bodymen versões 0.0.0 e posteriores **Descrição** A vulnerabilidade permite a contaminação de protótipos (Prototype Pollution) por meio da função `handler`, que pode ser induzida a adicionar ou modificar propriedades de `Object.prototype` usando uma carga útil ` proto `. **Recomendações** Para as versões 0.0.0 e posteriores do bodymen, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do libnested anteriores à 1.5.2 **Descrição** O problema está relacionado à contaminação de protótipos (Prototype Pollution) por meio da função `set` no arquivo `index.js`. **Recomendações** Para versões anteriores à 1.5.2, atualize para a versão 1.5.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** @strikeentco/set versões anteriores à 1.0.2 **Descrição** Esta vulnerabilidade permite que um invasor cause uma negação de serviço e pode levar à execução remota de código. Ela decorre de uma correção incompleta. **Recomendações** Para versões anteriores à 1.0.2, atualize para a versão 1.0.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao pacote `@strikeentco/set` até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do object-path-set anteriores à 1.0.2 **Descrição** A vulnerabilidade permite que um invasor insira protótipos de objetos nela por meio do método setPath, possibilitando a contaminação de protótipos. Essa vulnerabilidade é resultado de uma correção incompleta. **Recomendações** Para versões anteriores à 1.0.2, atualize para a versão 1.0.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do método setPath até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do bmoor anteriores à 0.10.1 **Descrição** O problema está relacionado à contaminação de protótipos devido à falta de sanitização na função `set`. Esse problema decorre de uma correção incompleta. **Recomendações** Para versões anteriores à 0.10.1, atualize para a versão 0.10.1 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `set` até que um patch esteja disponível. Restrinja o acesso à função `set` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do min-dash anteriores à 3.8.1 **Descrição** O problema diz respeito à contaminação de protótipos (Prototype Pollution) por meio do método `set`, devido à falta de verificação dos tipos de chave. **Recomendações** Para versões anteriores à 3.8.1, atualize para a versão 3.8.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do `cached-path-relative` anteriores à 1.1.0 **Descrição** A vulnerabilidade permite a contaminação de protótipos (Prototype Pollution) devido à variável `cache` definida como `{}` em vez de `Object.create(null)` na função `cachedPathRelative`. Isso permite o acesso às propriedades do protótipo pai quando o objeto é usado para criar o caminho relativo armazenado em cache. Especificamente, quando o caminho de origem é definido como ` proto `, o atributo do objeto é acessado em vez de um caminho. **Recomendações** Para versões anteriores à 1.1.0, atualize para a versão 1.1.0 ou posterior para resolver o problema. Como solução temporária, considere modificar a função `cachedPathRelative` para usar `Object.create(null)` em vez de `{}` para a variável `cache`, a fim de evitar a poluição de protótipos.