Plataforma
nodejs
Componente
object-path
Corrigido em
0.11.6
0.11.5
CVE-2020-15256 descreve uma vulnerabilidade de prototype pollution encontrada na biblioteca object-path em versões inferiores ou iguais a 0.11.4, afetando o método set(). Essa falha pode permitir que um atacante modifique propriedades de objetos de forma inesperada, potencialmente levando à execução de código arbitrário ou outros comportamentos indesejados. A vulnerabilidade afeta principalmente o modo includeInheritedProps. A correção está disponível na versão 0.11.5.
Uma vulnerabilidade de poluição de protótipos foi encontrada em object-path <= 0.11.4, afetando o método set(). A vulnerabilidade é limitada ao modo includeInheritedProps (se a versão >= 0.11.0 for usada), que deve ser explicitamente habilitado criando uma nova instância de object-path e definindo a opção includeInheritedProps: true, ou usando a instância padrão withInheritedProps. O modo de operação padrão não é afetado pela vulnerabilidade se a versão >= 0.11.0 for usada. Um atacante pode explorar esta vulnerabilidade para modificar propriedades nos protótipos de objetos, o que pode levar a um comportamento inesperado ou até mesmo à execução de código malicioso se o objeto afetado for usado em operações sensíveis. A severidade CVSS é de 7.7, indicando um risco alto.
A exploração desta vulnerabilidade requer controle sobre a entrada fornecida ao método set() enquanto estiver no modo includeInheritedProps. Um atacante pode injetar dados maliciosos que modifiquem os protótipos de objetos, potencialmente afetando outras partes da aplicação que usam esses objetos. A dificuldade de exploração depende da capacidade do atacante de controlar a entrada e da complexidade da aplicação. A vulnerabilidade é mais crítica em aplicações que usam object-path para manipular dados sensíveis ou que são executadas em ambientes com privilégios elevados.
Status do Exploit
EPSS
0.16% (percentil 37%)
Vetor CVSS
A solução para esta vulnerabilidade é atualizar a biblioteca object-path para a versão 0.11.5 ou superior. Se uma atualização imediata não for possível, recomenda-se desabilitar o modo includeInheritedProps evitando a criação de instâncias com includeInheritedProps: true e usando a instância padrão withInheritedProps apenas se for absolutamente necessário. É crucial revisar o código que utiliza object-path para identificar e mitigar quaisquer possíveis impactos de poluição de protótipos. Recomenda-se realizar testes exaustivos após aplicar qualquer mitigação para garantir que o sistema funcione corretamente e que a vulnerabilidade tenha sido resolvida. Monitorar os logs do sistema pode ajudar a detectar tentativas de exploração.
Actualice la biblioteca object-path a la versión 0.11.5 o superior. Si no puede actualizar, evite usar la opción `includeInheritedProps: true` o la instancia `withInheritedProps` en versiones mayores o iguales a 0.11.0. Si está utilizando una versión anterior a 0.11.0, la única solución es actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A poluição de protótipos ocorre quando o protótipo de um objeto é modificado, afetando todas as instâncias desse objeto. Isso pode levar a um comportamento inesperado e a problemas de segurança.
Verifique a versão de object-path em seu projeto. Se for menor ou igual a 0.11.4, você está usando uma versão vulnerável.
Se você estiver usando withInheritedProps, é crucial atualizar para a versão 0.11.5 ou superior. Se não puder atualizar, considere desabilitar esta funcionalidade.
Realize uma auditoria de segurança completa para identificar quaisquer danos causados pela vulnerabilidade. Implemente medidas de segurança adicionais para prevenir futuros ataques.
Consulte a entrada CVE-2020-15256 em bancos de dados de vulnerabilidades, como o National Vulnerability Database (NVD).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.