PT-2021-11539 · Amazon · @Aws-Sdk/Shared-Ini-File-Loader+1

Eugene Lim

·

Publicado

2021-01-19

·

Atualizado

2021-11-16

·

CVE-2020-28472

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
**Nome do software vulnerável e versões afetadas:
Versões do @aws-sdk/shared-ini-file-loader anteriores à 1.0.0-rc.9
Versões do aws-sdk anteriores à 2.814.0
Descrição:
O problema ocorre quando um invasor envia um arquivo INI malicioso para uma aplicação que o analisa com loadSharedConfigFiles. Isso pode levar à contaminação de protótipos no aplicativo, o que pode ser explorado posteriormente, dependendo do contexto.
Recomendações:
Para versões do @aws-sdk/shared-ini-file-loader anteriores à 1.0.0-rc.9, atualize para a versão 1.0.0-rc.9 ou posterior.
Para versões do aws-sdk anteriores à 2.814.0, atualize para a versão 2.814.0 ou posterior.
Como solução alternativa temporária, considere restringir o uso da função loadSharedConfigFiles até que um patch esteja disponível.

Exploit

Correção

Prototype Pollution

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1321

Identificadores relacionados

CVE-2020-28472
GHSA-RRC9-GQF8-8RWG
SNYK-JAVA-ORGWEBJARSBOWER-1059426
SNYK-JAVA-ORGWEBJARSNPM-1059425
SNYK-JS-AWSSDK-1059424
SNYK-JS-AWSSDKSHAREDINIFILELOADER-1049304

Produtos afetados

@Aws-Sdk/Shared-Ini-File-Loader
Aws Sdk