PT-2020-19977 · Node.Js · Dot
Publicado
2020-03-15
·
Atualizado
2022-05-24
·
CVE-2020-8141
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Pacote dot versão 1.1.2
Descrição
O problema diz respeito ao uso da função
Function() pelo pacote dot para compilar modelos, o que pode ser explorado se um invasor conseguir controlar o modelo em questão ou o valor definido em Object.prototype.Recomendações
Para a versão 1.1.2 do pacote dot, considere evitar o uso de dados controlados pelo usuário em modelos para minimizar o risco de exploração. Como solução temporária, restrinja a capacidade de definir valores em
Object.prototype até que uma correção esteja disponível.Exploit
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dot