PT-2021-14450 · Msgpack5 · Msgpack5
Ninevra
·
Publicado
2021-03-12
·
Atualizado
2022-10-24
·
CVE-2021-21368
CVSS v3.1
6.7
Média
| Vetor | AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do msgpack5 anteriores à 3.6.1
Versões do msgpack5 anteriores à 4.5.1
Versões do msgpack5 anteriores à 5.2.1
Descrição
O problema ocorre quando o msgpack5 decodifica um mapa contendo uma chave
proto, atribuindo o valor decodificado a proto. Isso permite que um invasor envie dados MessagePack manipulados, produzindo valores que parecem ser de outros tipos, com propriedades e métodos de protótipo inesperados, ou lançando exceções inesperadas. O protótipo do valor decodificado é afetado e só pode ser definido com valores do msgpack5. Não há efeito sobre o protótipo global.Recomendações
Para versões anteriores à 3.6.1, atualize para a versão 3.6.1 ou posterior.
Para versões anteriores à 4.5.1, atualize para a versão 4.5.1 ou posterior.
Para versões anteriores à 5.2.1, atualize para a versão 5.2.1 ou posterior.
Como solução alternativa temporária, sempre valide os dados recebidos após a análise antes de realizar qualquer processamento.
Exploit
Correção
Prototype Pollution
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Msgpack5