PT-2020-9146 · Undefsafe · Undefsafe

Publicado

2020-02-18

·

Atualizado

2022-02-09

·

CVE-2019-10795

CVSS v2.0

6.5

Média

VetorAV:N/AC:L/Au:S/C:P/I:P/A:P
Nome do software vulnerável e versões afetadas
Versões do undefsafe anteriores à 2.0.3
Descrição
A vulnerabilidade permite que a função a seja induzida a adicionar ou modificar propriedades do Object.prototype por meio de uma carga maliciosa proto, o que constitui um tipo de contaminação de protótipo. Isso ocorre porque a função não está devidamente protegida contra tais cargas maliciosas.
Recomendações
Para versões anteriores à 2.0.3, atualize para a versão 2.0.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função a até que um patch esteja disponível.

Exploit

Correção

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74

Identificadores relacionados

AZL-44064
CVE-2019-10795
GHSA-332Q-7FF2-57H2
SNYK-JS-UNDEFSAFE-548940

Produtos afetados

Undefsafe