PT-2021-11552 · Total.Js · Total.Js
Alessio Dellalibera
·
Publicado
2021-02-02
·
Atualizado
2021-02-05
·
CVE-2020-28495
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
**Nome do software vulnerável e versões afetadas:
Versões do total.js anteriores à 3.4.7
Descrição:
O problema está relacionado a uma vulnerabilidade de contaminação de protótipos na função
set, que pode ser usada para definir um valor em um objeto de acordo com um caminho. No entanto, as chaves do caminho que está sendo definido não são devidamente sanitizadas. O impacto depende da aplicação e pode levar a Negação de Serviço (DoS), Execução Remota de Código ou Injeção de Propriedade em alguns casos.Recomendações:
Para versões do total.js anteriores à 3.4.7, atualize para a versão 3.4.7 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função set para minimizar o risco de exploração.
Exploit
Correção
Prototype Pollution
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Total.Js