PT-2021-11543 · Jointjs · Jointjs

Publicado

2021-01-19

·

Atualizado

2021-09-21

·

CVE-2020-28480

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
**Nome do software vulnerável e versões afetadas:
Versões do jointjs anteriores à 3.3.0
Descrição:
O problema decorre da função util.setByPath, na qual o caminho utilizado para acessar a chave do objeto e definir o valor não é devidamente sanitizado. Isso leva a uma contaminação de protótipos, permitindo a possível manipulação das propriedades do objeto.
Recomendações:
Para versões do jointjs anteriores à 3.3.0, atualize para a versão 3.3.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função util.setByPath até que um patch seja aplicado.

Correção

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

CVE-2020-28480
GHSA-QWP9-52H8-XGG8
SNYK-JAVA-ORGWEBJARSBOWER-1062037
SNYK-JAVA-ORGWEBJARSNPM-1062036
SNYK-JS-JOINTJS-1024444

Produtos afetados

Jointjs