CVE-2021-23518

Versões do cached-path-relative anteriores à 1.1.0

A vulnerabilidade permite a contaminação de protótipos (Prototype Pollution) devido à variável cache definida como {} em vez de Object.create(null) na função cachedPathRelative. Isso permite o acesso às propriedades do protótipo pai quando o objeto é usado para criar o caminho relativo armazenado em cache. Especificamente, quando o caminho de origem é definido como proto, o atributo do objeto é acessado em vez de um caminho.

Para versões anteriores à 1.1.0, atualize para a versão 1.1.0 ou posterior para resolver o problema. Como solução temporária, considere modificar a função cachedPathRelative para usar Object.create(null) em vez de {} para a variável cache, a fim de evitar a poluição de protótipos.