PT-2020-5622 · Dojo · Dojox
Dylans
·
Publicado
2020-03-10
·
Atualizado
2020-05-27
·
CVE-2020-5259
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
versões do dojox anteriores à 1.11.10
versões do dojox anteriores à 1.12.8
versões do dojox anteriores à 1.13.7
versões do dojox anteriores à 1.14.6
versões do dojox anteriores à 1.15.3
versões do dojox anteriores à 1.16.2
Descrição
O problema diz respeito ao método
jqMix na biblioteca dojox, que é vulnerável à contaminação de protótipos (Prototype Pollution). Isso se refere à capacidade de injetar propriedades em protótipos de construções da linguagem JavaScript existentes, como objetos. Um invasor pode manipular esses atributos para sobrescrever, ou contaminar, um protótipo de objeto de aplicativo JavaScript do objeto base, injetando outros valores.Recomendações
Para versões do dojox anteriores à 1.11.10, atualize para a versão 1.11.10 ou posterior.
Para versões do dojox anteriores à 1.12.8, atualize para a versão 1.12.8 ou posterior.
Para versões do dojox anteriores à 1.13.7, atualize para a versão 1.13.7 ou posterior.
Para versões do dojox anteriores à 1.14.6, atualize para a versão 1.14.6 ou posterior.
Para versões do dojox anteriores à 1.15.3, atualize para a versão 1.15.3 ou posterior.
Para versões do dojox anteriores à 1.16.2, atualize para a versão 1.16.2 ou posterior.
Como solução temporária, considere desativar o método
jqMix até que um patch esteja disponível.Exploit
Correção
Code Injection
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Dojox