CVE-2024-21505

Versões do web3-utils anteriores à 4.2.1

A vulnerabilidade diz respeito à contaminação de protótipos (Prototype Pollution) por meio das funções utilitárias format e mergeDeep, devido a uma fusão recursiva insegura. Um invasor pode manipular o protótipo de um objeto, levando potencialmente à alteração do comportamento de todos os objetos que herdam do protótipo afetado, passando entradas especialmente criadas para essas funções.

Para versões anteriores à 4.2.1, atualize para a versão 4.2.1 do web3-utils para resolver o problema. Como solução temporária, considere restringir o uso da função mergeDeep() até que a atualização seja aplicada. Além disso, tenha cuidado ao usar a função format com entradas não confiáveis para minimizar o risco de exploração.