PT-2020-14394 · None+4 · Ajv+4

Publicado

2020-07-15

·

Atualizado

2024-06-21

·

CVE-2020-15366

CVSS v2.0

6.8

Média

VetorAV:N/AC:M/Au:N/C:P/I:P/A:P
Nome do software vulnerável e versões afetadas
Ajv versão 6.12.2
Descrição
Foi detectada uma falha na função ajv.validate() que permite a execução de código malicioso por meio de contaminação de protótipos quando um esquema JSON cuidadosamente elaborado é fornecido. No pior dos casos, um esquema não confiável deve resultar em uma negação de serviço, e não na execução de código.
Recomendações
Para a versão 6.12.2, considere desativar a função ajv.validate() até que um patch esteja disponível para impedir a possível execução de código por meio de contaminação de protótipo.

Exploit

Correção

DoS

Prototype Pollution

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1321CWE-915

Identificadores relacionados

ALSA-2020:5499
ALSA-2021:0548
ALSA-2021:0551
CESA-2020_5499
CESA-2021_0548
CESA-2021_0551
CVE-2020-15366
GHSA-V88G-CGMW-V5XW
OESA-2022-1620
RHSA-2020:5305
RHSA-2020:5499
RHSA-2020_5499
RHSA-2021:0421
RHSA-2021:0521
RHSA-2021:0548
RHSA-2021:0551
RHSA-2021:0781
RHSA-2021_0548
RHSA-2021_0551
RLSA-2020:5499
RLSA-2021:0548
RLSA-2021:0551

Produtos afetados

Almalinux
Centos
Red Hat
Rocky Linux
Ajv