PT-2020-19786 · Jsen · Jsen
Publicado
2020-11-23
·
Atualizado
2022-02-10
·
CVE-2020-7777
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Todas as versões do jsen
Descrição
Esta vulnerabilidade afeta o pacote jsen, permitindo que um invasor execute código JavaScript arbitrário na máquina da vítima caso consiga controlar o arquivo de esquema. O campo obrigatório do esquema não é sanitizado adequadamente, e a string resultante é passada para um
Function.apply(), levando à execução de código arbitrário. Não há menção aos riscos de arquivos de esquema não confiáveis na descrição do módulo e no arquivo README.Recomendações
Como solução temporária, considere desativar o uso de arquivos de esquema não confiáveis até que um patch esteja disponível.
Restrinja o acesso à função
Function.apply() para minimizar o risco de exploração.Evite usar o campo
required na definição do esquema até que a vulnerabilidade seja resolvida.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jsen