Vulnerabilidad en el método deepCopy en la aplicación JavaScript del objeto base en dojo (CVE-2020-5258)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
10/03/2020
Última modificación:
07/11/2023
Descripción
En las versiones afectadas de dojo (paquete NPM), el método deepCopy es vulnerable a una Contaminación de Prototipo. La Contaminación de Prototipo se refiere a la capacidad de inyectar propiedades en prototipos de construcciones de lenguaje JavaScript existentes, tales como objetos. Un atacante manipula estos atributos para sobrescribir o contaminar un prototipo de objeto de la aplicación JavaScript del objeto base mediante la inyección de otros valores. Esto ha sido parcheado en las versiones 1.12.8, 1.13.7, 1.14.6, 1.15.3 y 1.16.2
Impacto
Puntuación base 3.x
7.70
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:linuxfoundation:dojo:*:*:*:*:*:node.js:*:* | 1.11.10 (excluyendo) | |
| cpe:2.3:a:linuxfoundation:dojo:*:*:*:*:*:node.js:*:* | 1.12.0 (incluyendo) | 1.12.8 (excluyendo) |
| cpe:2.3:a:linuxfoundation:dojo:*:*:*:*:*:node.js:*:* | 1.13.0 (incluyendo) | 1.13.7 (excluyendo) |
| cpe:2.3:a:linuxfoundation:dojo:*:*:*:*:*:node.js:*:* | 1.14.0 (incluyendo) | 1.14.6 (excluyendo) |
| cpe:2.3:a:linuxfoundation:dojo:*:*:*:*:*:node.js:*:* | 1.15.0 (incluyendo) | 1.15.3 (excluyendo) |
| cpe:2.3:a:linuxfoundation:dojo:*:*:*:*:*:node.js:*:* | 1.16.0 (incluyendo) | 1.16.2 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:communications_application_session_controller:3.9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:communications_policy_management:12.5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:communications_pricing_design_center:12.0.0.3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:documaker:*:*:*:*:*:*:*:* | 12.6.0 (incluyendo) | 12.6.4 (incluyendo) |
| cpe:2.3:a:oracle:mysql:*:*:*:*:*:*:*:* | 7.3.0 (incluyendo) | 7.3.29 (incluyendo) |
| cpe:2.3:a:oracle:mysql:*:*:*:*:*:*:*:* | 7.4.0 (incluyendo) | 7.4.28 (incluyendo) |
| cpe:2.3:a:oracle:mysql:*:*:*:*:*:*:*:* | 7.5.0 (incluyendo) | 7.5.18 (incluyendo) |
| cpe:2.3:a:oracle:mysql:*:*:*:*:*:*:*:* | 7.6.0 (incluyendo) | 7.6.14 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/dojo/dojo/commit/20a00afb68f5587946dc76fbeaa68c39bda2171d
- https://github.com/dojo/dojo/security/advisories/GHSA-jxfh-8wgv-vfr2
- https://lists.apache.org/thread.html/r3638722360d7ae95f874280518b8d987d799a76df7a9cd78eac33a1b%40%3Cusers.qpid.apache.org%3E
- https://lists.apache.org/thread.html/r665fcc152bd0fec9f71511a6c2435ff24d3a71386b01b1a6df326fd3%40%3Cusers.qpid.apache.org%3E
- https://lists.apache.org/thread.html/rf481b3f25f05c52ba4e24991a941c1a6e88d281c6c9360a806554d00%40%3Cusers.qpid.apache.org%3E
- https://lists.debian.org/debian-lts-announce/2020/03/msg00012.html
- https://www.oracle.com//security-alerts/cpujul2021.html
- https://www.oracle.com/security-alerts/cpujan2022.html
- https://www.oracle.com/security-alerts/cpujul2020.html
- https://www.oracle.com/security-alerts/cpujul2022.html
- https://www.oracle.com/security-alerts/cpuoct2021.html