PT-2022-24028 · Npm+2 · @Xmldom/Xmldom+2
Secdevlpr26
·
Publicado
2022-10-11
·
Atualizado
2023-05-24
·
CVE-2022-37616
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do @xmldom/xmldom anteriores à 0.8.3
Descrição
Existe uma vulnerabilidade de contaminação de protótipos na função
copy do dom.js por meio da variável p. Esta questão é contestada pelo fornecedor e por alguns terceiros, tendo as tentativas de criar uma prova de conceito sido infrutíferas.Recomendações
Atualize para @xmldom/xmldom@~0.7.6, @xmldom/xmldom@~0.8.3 ou @xmldom/xmldom@>=0.9.0-beta.2 para resolver o problema.
Correção
Prototype Pollution
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Xmldom/Xmldom
Linuxmint
Ubuntu