PT-2021-8000 · Npm · Json-Pointer
Alessio Della Libera
·
Publicado
2021-10-31
·
Atualizado
2025-03-05
·
CVE-2021-23807
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do jsonpointer anteriores à 5.0.0
Descrição
Um problema de confusão de tipos no pacote jsonpointer pode levar à contornamento de uma correção anterior de “Prototype Pollution” quando os componentes do ponteiro são matrizes. Isso pode permitir que um invasor remoto execute código arbitrário. O problema está relacionado a erros na conversão de tipos de dados.
Recomendações
Para versões anteriores à 5.0.0, atualize para a versão 5.0.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do pacote jsonpointer até que um patch seja aplicado. Evite usar o pacote jsonpointer com componentes de matriz nos caminhos de ponteiro até que o problema seja resolvido.
Exploit
Correção
Prototype Pollution
Type Confusion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Json-Pointer