Vulnerabilidad en la función ctorName en el archiv (CVE-2019-20149)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/12/2019
Última modificación:
24/08/2020
Descripción
La función ctorName en el archivo index.js en kind-of versión v6.0.2, permite que la entrada de un usuario externo sobrescriba ciertos atributos internos por medio de un nombre en conflicto, como es demostrado por 'constructor':{'name':'Symbol'}. Por lo tanto, una carga útil especialmente diseñada puede sobrescribir este atributo incorporado para manipular el resultado de detección de tipo.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:kind-of_project:kind-of:6.0.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página