PT-2021-6594 · Set-Value · Set-Value
Ready-Research
·
Publicado
2021-09-12
·
Atualizado
2022-03-29
·
CVE-2021-23440
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do set-value anteriores à 2.0.1
Versões do set-value da 3.0.0 à 4.0.0
Descrição
O problema está relacionado a uma vulnerabilidade de confusão de tipos no módulo set-value, que pode ser explorada por um invasor remoto para acessar dados confidenciais, comprometer a integridade dos dados e causar uma negação de serviço. A vulnerabilidade pode ser acionada quando as chaves fornecidas pelo usuário usadas no parâmetro
path são matrizes.Recomendações
Para versões do set-value anteriores à 2.0.1, atualize para a versão 2.0.1 ou posterior.
Para versões do set-value de 3.0.0 a 4.0.0, atualize para a versão 4.0.1 ou posterior.
Como solução alternativa temporária, considere restringir o uso do parâmetro
path para minimizar o risco de exploração. Evite usar valores de matriz para o parâmetro path até que o problema seja resolvido.Exploit
Correção
Prototype Pollution
Type Confusion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Set-Value