PT-2020-9155 · Valib · Valib
Feng Xiao
+1
·
Publicado
2020-02-28
·
Atualizado
2021-04-13
·
CVE-2019-10805
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do valib até a 2.0.0
Descrição
A vulnerabilidade permite a adulteração de propriedades internas. Um objeto JavaScript criado de forma maliciosa pode contornar várias funções de inspeção fornecidas pelo valib. O valib utiliza uma função integrada (hasOwnProperty) a partir de entradas de usuário não seguras para examinar um objeto. É possível que uma carga maliciosa sobrescreva essa função para manipular os resultados da inspeção e contornar as verificações de segurança.
Recomendações
Para versões do valib até a 2.0.0, considere desativar o uso da função
hasOwnProperty a partir de entradas de usuário não seguras até que um patch esteja disponível. Restrinja o acesso às funções de inspeção fornecidas pelo valib para minimizar o risco de exploração. Evite usar a função hasOwnProperty nos objetos JavaScript afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Valib