PT-2020-2800 · Iniparser · Iniparser
Publicado
2020-04-01
·
Atualizado
2020-06-10
·
CVE-2020-7617
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 0.0.2 e anteriores do ini-parser
ini-parser até a versão 0.0.2
Descrição
O problema é causado por um consumo descontrolado de recursos na função
parse do pacote ini-parser, o que pode levar à execução de código arbitrário. A biblioteca pode ser induzida a adicionar ou modificar propriedades de Object.prototype usando uma carga útil ‘ proto ’, permitindo que um invasor adicione ou modifique propriedades existentes que estarão presentes em todos os objetos.Recomendações
Para as versões 0.0.2 e anteriores do ini-parser, considere usar um pacote alternativo até que uma correção seja disponibilizada.
Para o ini-parser até a versão 0.0.2, considere usar um pacote alternativo até que uma correção seja disponibilizada.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Prototype Pollution
Code Injection
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Iniparser