PT-2020-6062 · Npm+5 · Minimist+5
Publicado
2020-03-11
·
Atualizado
2022-04-22
·
CVE-2020-7598
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do minimist anteriores à 1.2.2
Versões do minimist anteriores à 0.2.1
Descrição
O problema está relacionado à biblioteca minimist, que é vulnerável à poluição de protótipos. Isso ocorre porque os argumentos não são sanitizados adequadamente, permitindo que um invasor modifique o protótipo de
Object, resultando na adição ou modificação de uma propriedade existente que estará presente em todos os objetos. Por exemplo, analisar o argumento -- proto .y=Polluted adiciona uma propriedade y com o valor Polluted a todos os objetos. O argumento -- proto =Polluted gera um erro não interceptado e causa a falha do aplicativo. Isso pode ser explorado se os invasores tiverem controle sobre os argumentos passados para minimist.Recomendações
Para versões anteriores à 0.2.1, atualize para a versão 0.2.1 ou posterior.
Para versões anteriores à 1.2.2, atualize para a versão 1.2.3 ou posterior.
Como solução temporária, considere restringir o uso da biblioteca
minimist até que um patch seja aplicado, especialmente em cenários onde o controle de argumentos é limitado.Exploit
Correção
Prototype Pollution
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Almalinux
Centos
Red Hat
Rocky Linux
Suse
Minimist