PT-2021-15531 · Teddy · Teddy

Alessio Della Libera

·

Publicado

2021-10-07

·

Atualizado

2022-05-03

·

CVE-2021-23447

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do teddy anteriores à 0.5.9
Descrição
Uma falha de confusão de tipos pode ser explorada para contornar a sanitização de entradas quando o conteúdo do modelo é uma matriz em vez de uma string. Isso está relacionado ao pacote teddy, que é uma linguagem de modelagem legível e fácil de aprender.
Recomendações
Para versões anteriores à 0.5.9, atualize para a versão 0.5.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o conteúdo do modelo a strings para minimizar o risco de exploração.

Exploit

Correção

Type Confusion

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-843CWE-79

Identificadores relacionados

CVE-2021-23447
GHSA-5F38-9JW2-6R6H
SNYK-JS-TEDDY-1579557

Produtos afetados

Teddy