PT-2021-22477 · Apache · Apache Echarts
Lowpissang
·
Publicado
2021-09-17
·
Atualizado
2022-09-10
·
CVE-2021-39227
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do ZRender anteriores à 5.2.1
Versões do Apache ECharts anteriores à 5.2.1
Descrição
O problema resulta em poluição de protótipos ao usar os métodos auxiliares
merge e clone no módulo src/core/util.ts. Isso afeta o Apache ECharts, que usa e exporta esses métodos diretamente. Uma prova de conceito está disponível na página de Alerta de Segurança do GitHub.Recomendações
Para versões do ZRender anteriores à 5.2.1, atualize para a versão 5.2.1.
Para versões do Apache ECharts anteriores à 5.2.1, atualize para a versão 5.2.1.
Como solução alternativa temporária, verifique se há
proto nas chaves do objeto e omita-o antes de usá-lo como parâmetro nos métodos afetados, como echarts.util.merge e setOption.Correção
Prototype Pollution
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Echarts