PT-2022-7301 · Async+2 · Async+2

Mriedem

·

Publicado

2022-04-06

·

Atualizado

2025-06-25

·

CVE-2021-43138

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões 2.x a 2.6.3 da biblioteca Async
Versões 3.x a 3.2.1 da biblioteca Async
Descrição
A vulnerabilidade está relacionada à função mapValues() na biblioteca Async, usada para trabalhar com JavaScript assíncrono. Ela envolve o controle incorreto de modificações nos atributos do protótipo de um objeto. Isso poderia permitir que um invasor remoto elevasse seus privilégios. Um usuário mal-intencionado pode explorar essa vulnerabilidade por meio do método mapValues(), também conhecido como poluição do protótipo createObjectIterator em lib/internal/iterator.js.
Recomendações
Para as versões 2.x a 2.6.3 do Async, atualize para a versão 2.6.4 para resolver o problema.
Para as versões 3.x a 3.2.1 do Async, atualize para a versão 3.2.2 para resolver o problema.
Como solução temporária, considere desativar a função mapValues() até que um patch esteja disponível.

Exploit

Correção

Prototype Pollution

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1321

Identificadores relacionados

BDU:2024-02595
CVE-2021-43138
GHSA-FWR7-V2MV-HH25
MGASA-2025-0194
OPENSUSE-SU-2024:12723-1
SUSE-RU-2024:0511-1
SUSE-SU-2022:3313-1
SUSE-SU-2022:3314-1
SUSE-SU-2022:3761-1
SUSE-SU-2023:2575-1
SUSE-SU-2023:2578-1
SUSE-SU-2023:2579-1
SUSE-SU-2024:0191-1
SUSE-SU-2024:0196-1
SUSE-SU-2024:0486-1
SUSE-SU-2024:0487-1

Produtos afetados

Async
Red Os
Suse