PT-2020-9145 · Unknown · Component-Flatten
Publicado
2020-02-18
·
Atualizado
2022-05-24
·
CVE-2019-10794
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Todas as versões do component-flatten
Descrição
A vulnerabilidade permite que a função
a seja induzida a adicionar ou modificar propriedades de Object.prototype por meio de uma carga útil proto, o que constitui uma forma de contaminação de protótipo. Isso ocorre porque a função não lida adequadamente com a propriedade proto na carga útil.Recomendações
Para todas as versões, considere restringir o uso da função
a até que um patch esteja disponível para evitar possíveis explorações. Como solução temporária, evite usar a propriedade proto na carga para minimizar o risco de poluição de protótipos.Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Component-Flatten