PT-2022-14913 · Convict · Convict

Alessio Della Libera

·

Publicado

2022-05-13

·

Atualizado

2022-05-24

·

CVE-2022-21190

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do convict anteriores à 6.2.3
Descrição
O problema está relacionado à contornamento de uma correção de segurança anterior. Ele afeta o pacote convict e se baseia na manipulação do método startsWith. Um invasor pode contornar a verificação de segurança acrescentando um valor de string seguido por um ponto a caminhos perigosos, como foo. proto ou foo.this.constructor.prototype.
Recomendações
Para versões anteriores à 6.2.3, atualize para a versão 6.2.3 ou posterior para resolver o problema.

Exploit

Correção

Prototype Pollution

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1321

Identificadores relacionados

CVE-2022-21190
GHSA-JJF5-WX3J-3FV7
SNYK-JS-CONVICT-2774757

Produtos afetados

Convict