PT-2024-35459 · Unknown · @Intlify/Shared
Bobbie Goede
·
Publicado
2024-11-29
·
Atualizado
2024-12-02
·
CVE-2024-52810
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do software vulnerável e versões afetadas
@intlify/shared versões 10.0.4
Descrição
A vulnerabilidade está relacionada à contaminação de protótipos (Prototype Pollution) por meio da(s) função(ões) de entrada
lib.deepCopy. Um invasor pode fornecer uma carga maliciosa com o setter Object.prototype para introduzir ou modificar propriedades na cadeia de protótipos global, causando, no mínimo, uma negação de serviço (DoS). As consequências dessa vulnerabilidade podem se agravar, levando a outros ataques baseados em injeção, dependendo de como a biblioteca está integrada ao aplicativo. Por exemplo, se a propriedade contaminada se propagar para APIs sensíveis do Node.js (por exemplo, exec, eval), isso poderia permitir que um invasor executasse comandos arbitrários dentro do contexto da aplicação.Recomendações
Para a versão 10.0.4 do @intlify/shared, atualize para a versão 10.0.5 para resolver o problema.
Como solução alternativa temporária, considere restringir o uso da função
lib.deepCopy até que um patch esteja disponível.Evite usar o setter
Object.prototype na função lib.deepCopy afetada até que o problema seja resolvido.Exploit
Correção
Prototype Pollution
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Intlify/Shared