PT-2020-19722 · Npm · Express-Fileupload

Po6Ix

·

Publicado

2020-07-30

·

Atualizado

2026-02-04

·

CVE-2020-7699

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do express-fileupload anteriores à 1.1.8
Descrição
A vulnerabilidade permite ataques de negação de serviço ou a execução de código arbitrário quando uma solicitação HTTP corrompida é enviada e a opção parseNested está ativada.
Recomendações
Para versões do express-fileupload anteriores à 1.1.8, atualize para a versão 1.1.8 ou posterior para resolver o problema. Como solução temporária, considere desativar a opção parseNested até que um patch esteja disponível.

Exploit

Correção

Prototype Pollution

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1321CWE-915

Identificadores relacionados

CVE-2020-7699
GHSA-9WCG-JRWF-8GG7
SNYK-JS-EXPRESSFILEUPLOAD-595969

Produtos afetados

Express-Fileupload