PT-2021-14403 · Dynamoose · Dynamoose
Fishcharlie
·
Publicado
2021-02-08
·
Atualizado
2022-10-25
·
CVE-2021-21304
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões 2.0.0 a 2.6.0 do Dynamoose
Descrição:
O Dynamoose é uma ferramenta de modelagem de código aberto para o DynamoDB da Amazon. Foi identificada uma vulnerabilidade de poluição de protótipos no método de utilitário interno
lib/utils/object/set.ts, utilizado em toda a base de código para diversas operações. Não há evidências de que essa vulnerabilidade tenha sido explorada. O problema não afeta as versões 1.x.x, pois o método vulnerável foi adicionado na reescrita da v2. Ele também afeta as versões beta/alfa da v2.x.x.Recomendações:
Para as versões 2.0.0 a 2.6.0 do Dynamoose, atualize para a versão 2.7.0 ou superior para corrigir a vulnerabilidade. Como solução temporária, considere restringir o uso do método
lib/utils/object/set.ts até que uma correção seja aplicada.Correção
Prototype Pollution
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Dynamoose