PT-2020-6071 · Node.Js · Node-Forge

Nerdjs

·

Publicado

2020-09-01

·

Atualizado

2022-12-02

·

CVE-2020-7720

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do node-forge anteriores à 0.10.0
Descrição
O problema está relacionado à contaminação de protótipos (Prototype Pollution) por meio da função util.setPath. Isso pode permitir que um invasor remoto execute um ataque de contaminação de protótipos, modificando atributos de objetos de forma descontrolada.
Recomendações
Para versões anteriores à 0.10.0, atualize para a versão 0.10.0 ou posterior, pois ela remove as funções vulneráveis, corrigindo o problema.

Exploit

Correção

Prototype Pollution

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1321CWE-915

Identificadores relacionados

BDU:2021-02897
CVE-2020-7720
GHSA-92XJ-MQP7-VMCJ
SNYK-JAVA-ORGWEBJARSNPM-609293
SNYK-JS-NODEFORGE-598677

Produtos afetados

Node-Forge