PT-2020-6963 · Minimist+7 · Minimist+7
Publicado
2020-04-03
·
Atualizado
2026-06-04
·
CVE-2021-44906
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Minimist versões 0.2.4 e anteriores, 1.2.5 e anteriores
Descrição
O problema está relacionado a uma vulnerabilidade de Prototype Pollution por meio do arquivo index.js, especificamente a função
setKey(). Essa vulnerabilidade pode ser explorada se um invasor tiver controle sobre os argumentos passados para minimist, permitindo que ele modifique o protótipo de Object e adicione ou modifique propriedades existentes. Por exemplo, analisar o argumento -- proto .y=Polluted pode adicionar uma propriedade y com o valor Polluted a todos os objetos. O argumento -- proto =Polluted pode gerar um erro não detectado e travar o aplicativo.Recomendações
Para o Minimist versão 0.2.4 e anteriores, atualize para a versão 0.2.1 ou posterior.
Para o Minimist versão 1.2.5 e anteriores, atualize para a versão 1.2.3 ou posterior.
Como solução temporária, considere restringir o uso da função
setKey() no arquivo index.js até que um patch esteja disponível.Evite usar o argumento
-- proto no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
DoS
Prototype Pollution
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Almalinux
Astra Linux
Centos
Minimist
Red Hat
Red Os
Rocky Linux
Suse