PT-2020-20072 · Npm · Json8-Merge-Patch

Publicado

2020-11-09

Atualizado

2021-05-10

CVE-2020-8268

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Nome do software vulnerável e versões afetadas

Versões do json8-merge-patch anteriores à 1.0.3

Descrição

A vulnerabilidade permite que invasores injetem ou modifiquem métodos e propriedades do construtor do objeto global devido a uma vulnerabilidade de contaminação de protótipos no pacote npm json8-merge-patch.

Recomendações

Para versões anteriores à 1.0.3, atualize para a versão 1.0.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do pacote json8-merge-patch até que um patch seja aplicado.

Exploit

Correção

Prototype Pollution

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1321CWE-471CWE-20

Identificadores relacionados

CVE-2020-8268

GHSA-8V9X-9XQG-R8MR

Produtos afetados

Json8-Merge-Patch

PT-2020-20072 · Npm · Json8-Merge-Patch

CVE-2020-8268

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 8