PT-2020-19732 · Npm · Safe-Eval
Anirudh Anand
·
Publicado
2020-08-21
·
Atualizado
2021-07-21
·
CVE-2020-7710
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
todas as versões do safe-eval
Descrição
A vulnerabilidade permite que um invasor execute comandos arbitrários na máquina hospedeira devido à falta de restrições no acesso ao contexto principal por meio de objetos Error. Isso pode levar à execução remota de código. Um exemplo de exploração envolve a avaliação de uma carga útil que manipula o protótipo e a propriedade stack do objeto Error para executar código arbitrário, como imprimir o conteúdo de
process.env.Recomendações
Para todas as versões do safe-eval, considere usar um pacote alternativo até que uma correção seja disponibilizada. Como solução temporária, considere restringir ou desativar o uso do pacote safe-eval para minimizar o risco de exploração.
Exploit
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Safe-Eval