PT-2024-2194 · Jsonata · Jsonata
Albertspedersen
·
Publicado
2024-02-28
·
Atualizado
2025-12-04
·
CVE-2024-27307
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões 1.4.0 a 1.8.6 do JSONata
Versões 2.0.0 a 2.0.3 do JSONata
Descrição
Uma expressão maliciosa pode usar o operador transform para sobrescrever propriedades no construtor e no protótipo
Object, levando potencialmente a negação de serviço, execução remota de código ou outro comportamento inesperado em aplicativos que avaliam expressões JSONata fornecidas pelo usuário.Recomendações
Para as versões 1.4.0 a 1.8.6 do JSONata, atualize para a versão 1.8.7 ou posterior para evitar a exploração.
Para as versões 2.0.0 a 2.0.3 do JSONata, atualize para a versão 2.0.4 ou posterior para evitar a exploração.
Como solução temporária, considere aplicar o patch manual fornecido para evitar a exploração.
Exploit
Correção
DoS
RCE
Prototype Pollution
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jsonata