Po6Ix

#11232de 53,633
24.5CVSS total
Vulnerabilidades · 3
Alta
2
Crítica
1
PT-2020-6060
7.5
2020-11-17
Npm · Y18N · CVE-2020-7774
**Nome do software vulnerável e versões afetadas** Versões do y18n anteriores à 3.2.2 Versões do y18n anteriores à 4.0.1 Versões do y18n anteriores à 5.0.5 **Descrição** A vulnerabilidade está relacionada à Prototype Pollution, que pode ser explorada por um invasor remoto para realizar um ataque de “prototype pollution”. Isso ocorre devido à modificação descontrolada dos atributos do protótipo do objeto. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Existe uma prova de conceito (POC) que demonstra a vulnerabilidade ao definir a localidade como ` proto ` e atualizá-la com um objeto contaminado, resultando na contaminação do protótipo. **Recomendações** Atualize para a versão 3.2.2 ou posterior para versões anteriores à 3.2.2 Atualize para a versão 4.0.1 ou posterior para versões anteriores à 4.0.1 Atualize para a versão 5.0.5 ou posterior para versões anteriores à 5.0.5 Como solução temporária, considere restringir o uso das funções `setLocale()` e `updateLocale()` até que um patch esteja disponível. Evite usar a localização ` proto ` para minimizar o risco de exploração.
PT-2020-19734
7.2
2020-08-30
Json · Json · CVE-2020-7712
**Nome do software vulnerável e versões afetadas** Versões do json anteriores à 10.0.0 **Descrição** A vulnerabilidade permite a injeção de comandos arbitrários usando a função `parseLookup`. **Recomendações** Para versões anteriores à 10.0.0, atualize para a versão 10.0.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função `parseLookup` até que um patch esteja disponível.
PT-2020-19722
9.8
2020-07-30
Npm · Express-Fileupload · CVE-2020-7699
**Nome do software vulnerável e versões afetadas** Versões do express-fileupload anteriores à 1.1.8 **Descrição** A vulnerabilidade permite ataques de negação de serviço ou a execução de código arbitrário quando uma solicitação HTTP corrompida é enviada e a opção `parseNested` está ativada. **Recomendações** Para versões do express-fileupload anteriores à 1.1.8, atualize para a versão 1.1.8 ou posterior para resolver o problema. Como solução temporária, considere desativar a opção `parseNested` até que um patch esteja disponível.