Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en jQuery (CVE-2019-11358)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/04/2019
Última modificación:
16/02/2024

Descripción

jQuery, en versiones anteriores a 3.4.0, como es usado en Drupal, Backdrop CMS, y otros productos, maneja mal jQuery.extend(true, {}, ...) debido a la contaminación de Object.prototype. Si un objeto fuente no sanitizado contenía una propiedad enumerable __proto__, podría extender el Object.prototype nativo.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:jquery:jquery:*:*:*:*:*:*:*:* 3.4.0 (excluyendo)
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:* 7.0 (incluyendo) 7.66 (excluyendo)
cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:* 8.5.0 (incluyendo) 8.5.15 (excluyendo)
cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:* 8.6.0 (incluyendo) 8.6.15 (excluyendo)
cpe:2.3:a:backdropcms:backdrop:*:*:*:*:*:*:*:* 1.11.0 (incluyendo) 1.11.9 (excluyendo)
cpe:2.3:a:backdropcms:backdrop:*:*:*:*:*:*:*:* 1.12.0 (incluyendo) 1.12.6 (excluyendo)
cpe:2.3:o:fedoraproject:fedora:28:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:29:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:*
cpe:2.3:a:opensuse:backports_sle:15.0:sp1:*:*:*:*:*:*
cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*
cpe:2.3:a:netapp:oncommand_system_manager:*:*:*:*:*:*:*:* 3.0 (incluyendo) 3.1.3 (incluyendo)


Referencias a soluciones, herramientas e información