CVE-2022-36010

Versões do react-editable-json-tree anteriores à 2.2.2

Versão 2.2.2 e posteriores do react-editable-json-tree com a propriedade allowFunctionEvaluation definida como true

Versões do react-editable-json-tree anteriores à 3.0.0 com a propriedade allowFunctionEvaluation definida como true

A biblioteca permite que strings sejam analisadas como funções e armazenadas como um componente especializado, JsonFunctionValue. Isso é feito usando a função eval do JavaScript para executar strings que começam com “function” como JavaScript, o que pode permitir a execução de código arbitrário se ele existir como um valor dentro da estrutura JSON que está sendo exibida. Considerando que esse componente pode ser frequentemente usado para exibir dados de fontes arbitrárias e não confiáveis, isso é extremamente perigoso. Usuários que definiram uma propriedade de callback onSubmitValueParser personalizada no componente JsonTree não devem ser afetados.

Na versão 2.2.2, a biblioteca mudou do uso de eval para o uso de Function para construir funções anônimas, o que é melhor por motivos de segurança: código arbitrário não deve poder ser executado imediatamente, e as funções são criadas sem closures locais, de modo que só têm acesso ao escopo global.