PT-2021-15521 · Unknown · Algoliasearch-Helper

Divyesh Prajapati

·

Publicado

2021-11-19

·

Atualizado

2025-10-05

·

CVE-2021-23433

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do algoliasearch-helper anteriores à 3.6.2
Descrição
O problema decorre do uso da função merge em src/SearchParameters/index.js, especificamente na função SearchParameters. parseNumbers, sem proteção contra propriedades de protótipo, levando à contaminação de protótipos. Isso só pode ser explorado se a implementação permitir que os usuários definam padrões de pesquisa arbitrários.
Recomendações
Para versões anteriores à 3.6.2, atualize para a versão 3.6.2 ou posterior para resolver o problema. Como solução temporária, considere restringir a entrada do usuário para impedir padrões de pesquisa arbitrários.

Exploit

Correção

Prototype Pollution

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1321CWE-915

Identificadores relacionados

CVE-2021-23433
GHSA-VPF5-82C8-9V36
SNYK-JS-ALGOLIASEARCHHELPER-1570421

Produtos afetados

Algoliasearch-Helper