PT-2022-9397 · Npm · @Generates/Merger+1
Dung Le
·
Publicado
2022-07-25
·
Atualizado
2022-08-01
·
CVE-2021-23397
CVSS v3.1
5.6
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Todas as versões do @ianwalter/merge
Descrição
O problema diz respeito à contaminação de protótipos (Prototype Pollution) por meio da função principal (
merge). O mantenedor sugere o uso do @generates/merger em vez disso, já que o @ianwalter/merge está obsoleto.Recomendações
Para todas as versões, considere usar @generates/merger como substituto, conforme sugerido pelo mantenedor, até que um patch esteja disponível para @ianwalter/merge. Como solução temporária, considere evitar o uso da função
merge em @ianwalter/merge para minimizar o risco de exploração.Exploit
Correção
Prototype Pollution
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Generates/Merger
@Ianwalter/Merge