PT-2021-14489 · Prisma · @Prisma/Sdk
Erik Krogh Kristensen
+1
·
Publicado
2021-04-06
·
Atualizado
2022-04-26
·
CVE-2021-21414
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do @prisma/sdk anteriores à 2.20.0
Versões do @prisma/sdk anteriores à 2.20.0-dev.29
Descrição
Esta vulnerabilidade pode levar à execução remota de código se um cliente da biblioteca chamar o método vulnerável com entrada não confiável. Ela afeta apenas a função
getPackedPackage, que não é divulgada e é usada apenas para testes e para a construção da CLI. Nenhum código malicioso foi encontrado após a verificação do código-fonte. Até o momento, não há usuários conhecidos do Prisma ou consumidores externos do pacote @prisma/sdk que tenham sido afetados por esta vulnerabilidade de segurança.Recomendações
Para versões do @prisma/sdk anteriores à 2.20.0, atualize para a versão 2.20.0 ou posterior.
Para versões do @prisma/sdk anteriores à 2.20.0-dev.29, atualize para a versão 2.20.0-dev.29 ou posterior.
Como solução temporária, considere desativar a função
getPackedPackage até que um patch esteja disponível. Evite usar essa função com entradas não confiáveis para minimizar o risco de exploração.Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Prisma/Sdk