Vulnerabilidad en las plantillas en las propiedades __proto__ y __defineGetter__ de un Objeto en handlebars (CVE-2019-19919)
Severidad:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/12/2019
Última modificación:
03/06/2022
Descripción
Las versiones anteriores a 4.3.0 de handlebars, son vulnerables a la Contaminación de Prototipos conllevando a una ejecución de código remota. Las plantillas pueden alterar las propiedades __proto__ y __defineGetter__ de un Objeto, lo que puede permitir a un atacante ejecutar código arbitrario por medio de cargas útiles diseñadas.
Impacto
Puntuación base 3.x
9.80
Severidad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Severidad 2.0
Pendiente de análisis
Productos y versiones vulnerables
- cpe:2.3:a:handlebars.js_project:handlebars.js:1.0.6:-:*:*:*:node.js:*:*
- cpe:2.3:a:handlebars.js_project:handlebars.js:1.0.7:-:*:*:*:node.js:*:*
- cpe:2.3:a:handlebars.js_project:handlebars.js:1.0.8:-:*:*:*:node.js:*:*
- cpe:2.3:a:handlebars.js_project:handlebars.js:1.0.9:-:*:*:*:node.js:*:*
- cpe:2.3:a:handlebars.js_project:handlebars.js:1.0.10:-:*:*:*:node.js:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
- https://www.npmjs.com/advisories/1164 (Origen:MISC)
- https://www.tenable.com/security/tns-2021-14 (Origen:CONFIRM)