PT-2022-9426 · Notevil+1 · Notevil+1
Abdullah Alhamdan
+1
·
Publicado
2022-03-17
·
Atualizado
2022-03-24
·
CVE-2021-23771
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
todas as versões do notevil
todas as versões do argencoders-notevil
Descrição
O problema está relacionado a uma fuga da sandbox (Sandbox Escape) que leva à contaminação de protótipos (Prototype pollution). O pacote não consegue restringir o acesso ao contexto principal, permitindo que um invasor adicione ou modifique o protótipo de um objeto. Essa vulnerabilidade decorre de uma correção incompleta. O pacote notevil e sua variante argencoders-notevil foram afetados, sendo que esta última está obsoleta.
Recomendações
Para todas as versões do notevil, considere restringir o acesso ao contexto principal para evitar a contaminação de protótipos.
Para todas as versões do argencoders-notevil, como o pacote está obsoleto, recomenda-se evitar seu uso e considerar soluções alternativas para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Prototype Pollution
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Argencoders-Notevil
Notevil