CVE-2021-41097

Versões do aurelia-path anteriores à 1.1.7

O problema está relacionado a uma vulnerabilidade de contaminação de protótipo no aurelia-path, que faz parte da plataforma Aurelia e contém utilitários para manipulação de caminhos. Essa vulnerabilidade expõe aplicativos Aurelia que utilizam o pacote aurelia-path para analisar uma string, particularmente aqueles que empregam o pacote aurelia-router. Um exemplo de exploração poderia envolver um invasor induzindo um aplicativo a analisar uma URL como https://aurelia.io/blog/? proto [asdf]=asdf, permitindo potencialmente que o invasor altere o protótipo da classe de objeto base Object.

Para versões anteriores à 1.1.7, atualize para a versão 1.1.7 para resolver o problema.

Como solução alternativa temporária, considere usar Object.freeze(Object.prototype) para mitigar parcialmente a vulnerabilidade.