PT-2022-17432 · Dset · Dset

Oscar Arnflo

·

Publicado

2022-05-01

·

Atualizado

2023-09-12

·

CVE-2022-25645

CVSS v2.0

6.8

Média

VetorAV:N/AC:M/Au:N/C:P/I:P/A:P
Nome do software vulnerável e versões afetadas
Versões do dset anteriores à 3.1.2
Descrição
O problema decorre do processo de validação da função dset no modo ‘dset/merge’, no qual ela verifica se há contaminação de protótipo procurando por proto, constructor ou prototype no caminho de nível superior. No entanto, essa verificação pode ser contornada através da criação de um objeto malicioso, levando à contaminação de protótipos.
Recomendações
Para versões anteriores à 3.1.2, atualize para a versão 3.1.2 ou posterior para resolver o problema.

Exploit

Correção

Prototype Pollution

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1321

Identificadores relacionados

CVE-2022-25645
GHSA-23WX-CGXQ-VPWX
SNYK-JAVA-ORGWEBJARSNPM-2431974
SNYK-JS-DSET-2330881

Produtos afetados

Dset