CVE-2021-25915

Versões do changeset de 0.0.1 a 0.2.5

A vulnerabilidade permite que um invasor provoque uma negação de serviço e pode levar à execução remota de código devido a uma vulnerabilidade de contaminação de protótipos. A função apply() no módulo npm ‘changeset’ não verifica o tipo de objeto antes de atribuir um valor a uma propriedade, o que pode ser explorado para criar propriedades inexistentes ou manipular as existentes. Isso pode ser feito fornecendo um valor malicioso ao argumento changes, incluindo a propriedade proto, permitindo que um invasor contamine o protótipo do objeto.

Para as versões 0.0.1 a 0.2.5, considere desativar a função apply() até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso ao módulo changeset para minimizar o risco de negação de serviço ou execução remota de código. Evite usar o argumento changes na função apply() sem validação adequada para evitar a poluição de protótipos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.