PT-2020-17011 · Js Data · Js-Data

Publicado

2020-12-15

·

Atualizado

2022-02-09

·

CVE-2020-28442

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do js-data anteriores à 3.0.10
Descrição
O problema diz respeito à contaminação de protótipos (Prototype Pollution) por meio da função deepFillIn. Isso permite a possível manipulação de propriedades de objetos. Não há informações disponíveis sobre o número estimado de dispositivos afetados ou incidentes reais.
Recomendações
Para versões anteriores à 3.0.10, atualize para a versão 3.0.10 ou posterior para resolver o problema. Como solução temporária, considere desativar a função deepFillIn até que um patch esteja disponível.

Exploit

Correção

Prototype Pollution

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1321

Identificadores relacionados

CVE-2020-28442
GHSA-MQGV-67VX-G4M5
SNYK-JAVA-ORGWEBJARSBOWER-1050978
SNYK-JAVA-ORGWEBJARSNPM-1050979
SNYK-JS-JSDATA-1023655

Produtos afetados

Js-Data