CVE-2020-28277

Versões do dset de 1.0.0 a 2.0.1

A vulnerabilidade permite que um invasor cause uma negação de serviço e pode levar à execução remota de código devido a uma vulnerabilidade de poluição de protótipo. O módulo NPM ‘dset’ pode ser explorado, pois a função export() não verificou o tipo de objeto antes de atribuir um valor à propriedade. Essa falha permite que um invasor crie uma propriedade inexistente ou manipule a propriedade, levando à negação de serviço ou, potencialmente, à execução remota de código. A função export aceita três argumentos obj, keys, val e, devido à ausência de validação, um invasor pode fornecer um valor malicioso ajustando o valor de keys para incluir a propriedade proto.

Para as versões 1.0.0 a 2.0.1 do dset, considere desativar a função export() até que um patch esteja disponível para evitar possíveis explorações. Restrinja o acesso ao módulo dset para minimizar o risco de exploração. Evite usar os argumentos keys e val na função export afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.