Vulnerabilidad en el método mapValues() en Async (CVE-2021-43138)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/04/2022
Última modificación:
21/06/2024
Descripción
En Async antes de la versión 2.6.4 y 3.x antes de la versión 3.2.2, un usuario malicioso puede obtener privilegios a través del método mapValues(), también conocido como contaminación del prototipo lib/internal/iterator.js createObjectIterator
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:async_project:async:*:*:*:*:*:*:*:* | 2.6.4 (excluyendo) | |
cpe:2.3:a:async_project:async:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.2.2 (excluyendo) |
cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:* | ||
cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/caolan/async/blob/master/lib/internal/iterator.js
- https://github.com/caolan/async/blob/master/lib/mapValuesLimit.js
- https://github.com/caolan/async/blob/v2.6.4/CHANGELOG.md#v264
- https://github.com/caolan/async/commit/e1ecdbf79264f9ab488c7799f4c76996d5dca66d
- https://github.com/caolan/async/compare/v2.6.3...v2.6.4
- https://github.com/caolan/async/pull/1828
- https://jsfiddle.net/oz5twjd9/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/MTEUUTNIEBHGKUKKLNUZSV7IEP6IP3Q3/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/UM6XJ73Q3NAM5KSGCOKJ2ZIA6GUWUJLK/
- https://security.netapp.com/advisory/ntap-20240621-0006/