PT-2020-16966 · Deep-Set · Deep-Set
Publicado
2020-12-29
·
Atualizado
2022-05-24
·
CVE-2020-28276
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
deep-set, versões 1.0.0 a 1.0.1
Descrição
A vulnerabilidade permite que um invasor cause uma negação de serviço e pode levar à execução remota de código devido a uma vulnerabilidade de poluição de protótipos. Isso ocorre porque a função
deepSet() não verifica o tipo do objeto antes de atribuir um valor a uma propriedade, permitindo que um invasor crie propriedades inexistentes ou manipule as existentes.Recomendações
Para as versões 1.0.0 a 1.0.1 do deep-set, considere desativar a função
deepSet() até que um patch esteja disponível para evitar uma possível exploração. Restrinja o uso da função deepSet() para minimizar o risco de negação de serviço ou execução remota de código. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Prototype Pollution
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Deep-Set