Vulnerabilidad en JSONata (CVE-2024-27307)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

06/03/2024

Última modificación:

04/12/2025

Descripción

JSONata es un lenguaje de consulta y transformación JSON. A partir de la versión 1.4.0 y anteriores a las versiones 1.8.7 y 2.0.4, una expresión maliciosa puede utilizar el operador de transformación para anular propiedades en el constructor y prototipo del `Objeto`. Esto puede provocar denegación de servicio, ejecución remota de código u otro comportamiento inesperado en aplicaciones que evalúan expresiones JSONata proporcionadas por el usuario. Este problema se solucionó en las versiones 1.8.7 y 2.0.4 de JSONata. Las aplicaciones que evalúan expresiones proporcionadas por el usuario deben actualizarse lo antes posible para evitar la explotación. Como solución alternativa, se puede aplicar el parche manualmente.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:jsonata:jsonata::::::::	1.4.0 (incluyendo)	1.8.7 (excluyendo)
cpe:2.3:a:jsonata:jsonata::::::::	2.0.0 (incluyendo)	2.0.4 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en JSONata (CVE-2024-27307)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información