PT-2021-15529 · Jointjs · Jointjs

Alessio Della Libera

·

Publicado

2021-09-21

·

Atualizado

2021-10-02

·

CVE-2021-23444

CVSS v2.0

7.5

Alta

VetorAV:N/AC:L/Au:N/C:P/I:P/A:P
Nome do software vulnerável e versões afetadas
Versões do jointjs anteriores à 3.4.2
Descrição
Um problema de confusão de tipos pode levar a uma falha de segurança quando as chaves fornecidas pelo usuário no parâmetro path da função setByPath são matrizes.
Recomendações
Para versões anteriores à 3.4.2, atualize para a versão 3.4.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função setByPath com valores de matriz no parâmetro path até que um patch esteja disponível.

Exploit

Correção

Type Confusion

Prototype Pollution

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-843CWE-1321

Identificadores relacionados

CVE-2021-23444
GHSA-F3PP-32QC-36W4
SNYK-JAVA-ORGWEBJARSBOWER-1655817
SNYK-JAVA-ORGWEBJARSNPM-1655816
SNYK-JS-JOINTJS-1579578

Produtos afetados

Jointjs