CVE-2021-43852

Versões do OroPlatform anteriores à 4.2.8

A vulnerabilidade permite que um invasor injete propriedades em protótipos de construções da linguagem JavaScript existentes, como objetos, enviando uma solicitação especialmente criada para esse fim. Essa injeção pode levar à execução de código JavaScript por bibliotecas vulneráveis à contaminação de protótipos (Prototype Pollution).

Para versões anteriores à 4.2.8, atualize para a versão 4.2.8 para resolver o problema.

Como solução alternativa temporária, considere configurar um firewall ou WAF para rejeitar solicitações contendo as strings: proto, constructor[prototype] e constructor.prototype para mitigar este problema.