Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la función ctorName en el archiv (CVE-2019-20149)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/12/2019
Última modificación:
24/08/2020

Descripción

La función ctorName en el archivo index.js en kind-of versión v6.0.2, permite que la entrada de un usuario externo sobrescriba ciertos atributos internos por medio de un nombre en conflicto, como es demostrado por 'constructor':{'name':'Symbol'}. Por lo tanto, una carga útil especialmente diseñada puede sobrescribir este atributo incorporado para manipular el resultado de detección de tipo.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:kind-of_project:kind-of:6.0.2:*:*:*:*:*:*:*