PT-2020-6060 · Npm+7 · Y18N+7

Po6Ix

·

Publicado

2020-11-17

·

Atualizado

2026-05-18

·

CVE-2020-7774

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do y18n anteriores à 3.2.2
Versões do y18n anteriores à 4.0.1
Versões do y18n anteriores à 5.0.5
Descrição
A vulnerabilidade está relacionada à Prototype Pollution, que pode ser explorada por um invasor remoto para realizar um ataque de “prototype pollution”. Isso ocorre devido à modificação descontrolada dos atributos do protótipo do objeto. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Existe uma prova de conceito (POC) que demonstra a vulnerabilidade ao definir a localidade como proto e atualizá-la com um objeto contaminado, resultando na contaminação do protótipo.
Recomendações
Atualize para a versão 3.2.2 ou posterior para versões anteriores à 3.2.2
Atualize para a versão 4.0.1 ou posterior para versões anteriores à 4.0.1
Atualize para a versão 5.0.5 ou posterior para versões anteriores à 5.0.5
Como solução temporária, considere restringir o uso das funções setLocale() e updateLocale() até que um patch esteja disponível. Evite usar a localização proto para minimizar o risco de exploração.

Exploit

Correção

Prototype Pollution

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1321CWE-20CWE-915

Identificadores relacionados

ALSA-2020:5499
ALSA-2021:0548
ALSA-2021:0551
ALT-PU-2021-2408
ALT-PU-2022-3069
BDU:2021-02865
CESA-2020_5499
CESA-2021_0548
CESA-2021_0551
CLEANSTART-2026-BD71263
CLEANSTART-2026-IS74202
CLEANSTART-2026-JR35772
CLEANSTART-2026-JY06700
CLEANSTART-2026-KN34553
CLEANSTART-2026-KZ45320
CLEANSTART-2026-LJ44720
CLEANSTART-2026-LN12820
CLEANSTART-2026-TX00223
CLEANSTART-2026-WI75198
CVE-2020-7774
GHSA-C4W7-XM78-47VH
MGASA-2021-0372
OESA-2022-1769
OPENSUSE-SU-2021:1059-1
OPENSUSE-SU-2021:1060-1
OPENSUSE-SU-2021:1061-1
OPENSUSE-SU-2021:1113-1
OPENSUSE-SU-2021:2327-1
OPENSUSE-SU-2021:2353-1
OPENSUSE-SU-2021:2354-1
OPENSUSE-SU-2021:2618-1
OPENSUSE-SU-2021_1059-1
OPENSUSE-SU-2021_1060-1
OPENSUSE-SU-2021_1061-1
OPENSUSE-SU-2021_1113-1
OPENSUSE-SU-2021_2327-1
OPENSUSE-SU-2021_2353-1
OPENSUSE-SU-2021_2354-1
OPENSUSE-SU-2021_2618-1
OPENSUSE-SU-2024:11096-1
RHSA-2020:5305
RHSA-2020:5499
RHSA-2020_5499
RHSA-2021:0421
RHSA-2021:0521
RHSA-2021:0548
RHSA-2021:0551
RHSA-2021_0548
RHSA-2021_0551
RLSA-2020:5499
RLSA-2021:0548
RLSA-2021:0551
SNYK-JAVA-ORGWEBJARSNPM-1038306
SNYK-JS-Y18N-1021887
SUSE-SU-2021:2319-1
SUSE-SU-2021:2323-1
SUSE-SU-2021:2326-1
SUSE-SU-2021:2327-1
SUSE-SU-2021:2353-1
SUSE-SU-2021:2354-1
SUSE-SU-2021:2618-1
SUSE-SU-2021:2620-1
SUSE-SU-2021_2319-1
SUSE-SU-2021_2354-1
SUSE-SU-2021_2618-1
SUSE-SU-2021_2620-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Red Hat
Rocky Linux
Suse
Y18N