Phanabani

**Nome do software vulnerável e versões afetadas** Versões do react-editable-json-tree anteriores à 2.2.2 Versão 2.2.2 e posteriores do react-editable-json-tree com a propriedade `allowFunctionEvaluation` definida como `true` Versões do react-editable-json-tree anteriores à 3.0.0 com a propriedade `allowFunctionEvaluation` definida como `true` **Descrição** A biblioteca permite que strings sejam analisadas como funções e armazenadas como um componente especializado, `JsonFunctionValue`. Isso é feito usando a função `eval` do JavaScript para executar strings que começam com “function” como JavaScript, o que pode permitir a execução de código arbitrário se ele existir como um valor dentro da estrutura JSON que está sendo exibida. Considerando que esse componente pode ser frequentemente usado para exibir dados de fontes arbitrárias e não confiáveis, isso é extremamente perigoso. Usuários que definiram uma propriedade de callback `onSubmitValueParser` personalizada no componente `JsonTree` não devem ser afetados. Na versão 2.2.2, a biblioteca mudou do uso de `eval` para o uso de `Function` para construir funções anônimas, o que é melhor por motivos de segurança: código arbitrário não deve poder ser executado imediatamente, e as funções são criadas sem closures locais, de modo que só têm acesso ao escopo global. **Recomendações** - Para versões <2.2.2, atualize para a versão 2.2.2 ou posterior o mais rápido possível. - Para a versão 2.2.2 e posteriores com a propriedade `allowFunctionEvaluation` definida como `true`, defina explicitamente a propriedade `allowFunctionEvaluation` do `JsonTree` como `false` para mitigar totalmente essa vulnerabilidade. - Para versões >=3.0.0, não há f