CVE-2024-54152

Nome do software vulnerável e versões afetadas:

Versões do Angular Expressions anteriores à 1.4.3

Descrição:

O problema está relacionado ao gerenciamento incorreto da geração de código no módulo Angular Expressions para a estrutura web Angular.JS. Um invasor pode escrever uma expressão maliciosa que contorne a sandbox para executar código arbitrário no sistema. Com uma carga útil mais complexa, é possível obter acesso total à execução de código arbitrário no sistema.

Recomendações:

Para versões anteriores à 1.4.3, atualize para a versão 1.4.3 para resolver o problema.

Como solução temporária, considere desativar o acesso a proto globalmente.

Como alternativa, certifique-se de usar a função compilada com apenas um argumento, por exemplo: const result = expressions.compile(“ proto .constructor”)({});, embora isso limite o recurso de variáveis locais, se necessário.