PT-2021-7457 · Unknown+5 · Underscore+5
Alessio Della Libera
+1
·
Publicado
2021-02-28
·
Atualizado
2026-06-04
·
CVE-2021-23358
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do underscore 1.3.2 a 1.12.1
Versões do underscore 1.13.0-0 a 1.13.0-2
Descrição
A vulnerabilidade está relacionada à função
template da biblioteca underscore, utilizada para trabalhar com matrizes em JavaScript. Ela é causada por um gerenciamento incorreto da geração de código. A exploração desse problema pode permitir que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço. A vulnerabilidade está especificamente relacionada à função template quando uma propriedade variável é passada como argumento sem a devida sanitização, levando à injeção de código arbitrário.Recomendações
Para as versões do underscore 1.3.2 a 1.12.1, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do underscore 1.13.0-0 a 1.13.0-2, atualize para a versão 1.13.0-2 ou posterior para resolver o problema.
Como solução temporária, considere desativar a função template até que um patch esteja disponível.
Restrinja o acesso à função template para minimizar o risco de exploração, especialmente quando propriedades variáveis são passadas como argumentos.
Exploit
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astra Linux
Jira
Linuxmint
Suse
Ubuntu
Underscore