PT-2022-12260 · Qs+1 · Qs+1

Publicado

2022-03-17

·

Atualizado

2022-05-17

·

CVE-2021-44907

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do qs até a 6.8.0
Descrição
Existe uma vulnerabilidade de negação de serviço devido à sanitização insuficiente das propriedades na função gs.parse. A função merge() permite atribuir propriedades a uma matriz na consulta, o que pode causar um comportamento inesperado se não for devidamente verificado pelo usuário com Array.isArray().
Recomendações
Para versões até 6.8.0, considere atualizar para uma versão em que esse problema esteja resolvido, pois a versão atual pode causar comportamento inesperado devido à falta de sanitização adequada na função gs.parse.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Identificadores relacionados

CVE-2021-44907
OPENSUSE-SU-2022_1461-1
OPENSUSE-SU-2022_1462-1
OPENSUSE-SU-2022_1694-1
OPENSUSE-SU-2022_1717-1
SUSE-SU-2022:1459-1
SUSE-SU-2022:1461-1
SUSE-SU-2022:1462-1
SUSE-SU-2022:1466-1
SUSE-SU-2022:1694-1
SUSE-SU-2022:1717-1
SUSE-SU-2022_1717-1

Produtos afetados

Suse
Qs