CVE-2022-21803

Versões do nconf anteriores à 0.11.4

A vulnerabilidade afeta o pacote nconf ao utilizar o mecanismo de memória, permitindo o armazenamento de uma representação JSON aninhada da configuração. A função set() está vulnerável à contaminação de protótipos (Prototype Pollution), possibilitando a modificação de propriedades no Object.prototype por meio do fornecimento de uma propriedade maliciosamente criada.

Para versões anteriores à 0.11.4, atualize para a versão 0.11.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função set() até que um patch esteja disponível. Evite usar propriedades criadas de forma maliciosa que possam explorar a vulnerabilidade de Prototype Pollution na função set() afetada.