CVE-2019-10790

Versões do taffydb até a 2.7.3, inclusive

A vulnerabilidade permite que invasores forjem a adição de propriedades adicionais à entrada do usuário processada pelo taffy, o que pode possibilitar o acesso a quaisquer itens de dados no banco de dados. O taffy define um índice interno para cada item de dados em seu banco de dados. No entanto, verificou-se que o índice interno pode ser falsificado adicionando propriedades adicionais à entrada do usuário. Se um índice for encontrado na consulta, o taffyDB ignorará outras condições da consulta e retornará diretamente o item de dados indexado. Além disso, o índice interno está em um formato facilmente adivinhável, como T000002R000001. Assim, invasores podem usar essa vulnerabilidade para acessar quaisquer itens de dados no banco de dados.

Para versões até e incluindo a 2.7.3, considere desativar o uso de índices internos até que um patch esteja disponível ou uma solução alternativa seja implementada. Restrinja o acesso a itens de dados confidenciais para minimizar o risco de exploração. Evite usar o módulo taffydb até que um sucessor mantido ou uma versão corrigida esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.