PT-2020-19760 · Mathjs · Math.Js

Publicado

2020-10-13

·

Atualizado

2021-05-10

·

CVE-2020-7743

CVSS v2.0

7.5

Alta

VetorAV:N/AC:L/Au:N/C:P/I:P/A:P
Nome do software vulnerável e versões afetadas
Versões do mathjs anteriores à 7.5.1
Descrição
O problema diz respeito à contaminação de protótipos (Prototype Pollution) por meio da função deepExtend, que é acionada por atualizações de configuração. Essa função faz parte do pacote mathjs.
Recomendações
Para versões anteriores à 7.5.1, atualize para a versão 7.5.1 ou posterior para resolver o problema. Como solução temporária, considere restringir as atualizações de configuração até que a atualização seja aplicada.

Exploit

Correção

Prototype Pollution

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1321CWE-915

Identificadores relacionados

CVE-2020-7743
GHSA-X2FC-MXCX-W4MF
SNYK-JAVA-ORGWEBJARS-1017113
SNYK-JAVA-ORGWEBJARSBOWER-1017112
SNYK-JAVA-ORGWEBJARSNPM-1017111
SNYK-JS-MATHJS-1016401

Produtos afetados

Math.Js