PT-2020-6065 · Object Path+2 · Object-Path+2
Alromh87
+3
·
Publicado
2020-10-19
·
Atualizado
2023-03-22
·
CVE-2020-15256
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do object-path <= 0.11.4
Descrição
Foi identificada uma vulnerabilidade de contaminação de protótipos no método
set() da biblioteca object-path. A vulnerabilidade está limitada ao modo includeInheritedProps, que deve ser explicitamente ativado criando-se uma nova instância de object-path e definindo a opção includeInheritedProps: true, ou utilizando a instância padrão withInheritedProps. Qualquer uso de set() nas versões < 0.11.0 é vulnerável. O problema foi corrigido na versão 0.11.5 do object-path.Recomendações
Para versões <= 0.11.4, atualize para a versão 0.11.5 para corrigir o problema.
Como solução temporária, não use as opções
includeInheritedProps: true ou a instância withInheritedProps se estiver usando uma versão >= 0.11.0.Correção
Prototype Pollution
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Linuxmint
Ubuntu
Object-Path