PT-2020-3237 · Oracle+1 · Dojo+2
Publicado
2020-03-10
·
Atualizado
2022-07-25
·
CVE-2020-5258
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
versões do dojo anteriores à 1.12.8
versões do dojo anteriores à 1.13.7
versões do dojo anteriores à 1.14.6
versões do dojo anteriores à 1.15.3
versões do dojo anteriores à 1.16.2
Descrição
A vulnerabilidade existe devido à falta de medidas para neutralizar elementos especiais no componente dojo do sistema Oracle MySQL Cluster. Isso permite que um invasor remoto comprometa a integridade dos dados. O método deepCopy nas versões afetadas do dojo (pacote NPM) é vulnerável à Prototype Pollution, que se refere à capacidade de injetar propriedades em protótipos de construções da linguagem JavaScript existentes, como objetos. Um invasor pode manipular esses atributos para sobrescrever, ou contaminar, um protótipo de objeto de aplicativo JavaScript do objeto base, injetando outros valores.
Recomendações
Para versões anteriores à 1.12.8, atualize para a versão 1.12.8 ou posterior.
Para versões anteriores à 1.13.7, atualize para a versão 1.13.7 ou posterior.
Para versões anteriores à 1.14.6, atualize para a versão 1.14.6 ou posterior.
Para versões anteriores à 1.15.3, atualize para a versão 1.15.3 ou posterior.
Para versões anteriores à 1.16.2, atualize para a versão 1.16.2 ou posterior.
Como solução temporária, considere desativar o método
deepCopy até que um patch esteja disponível. Restrinja o acesso ao módulo dojo vulnerável para minimizar o risco de exploração. Evite usar o método deepCopy nos pontos de extremidade da API afetados até que o problema seja resolvido.Exploit
Correção
Prototype Pollution
Code Injection
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Oracle Weblogic Server
Dojo