Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el método mapValues() en Async (CVE-2021-43138)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/04/2022
Última modificación:
21/06/2024

Descripción

En Async antes de la versión 2.6.4 y 3.x antes de la versión 3.2.2, un usuario malicioso puede obtener privilegios a través del método mapValues(), también conocido como contaminación del prototipo lib/internal/iterator.js createObjectIterator

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:async_project:async:*:*:*:*:*:*:*:* 2.6.4 (excluyendo)
cpe:2.3:a:async_project:async:*:*:*:*:*:*:*:* 3.0.0 (incluyendo) 3.2.2 (excluyendo)
cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:*