Vulnerabilidad en intlify/shared (CVE-2024-52810)

Gravedad CVSS v4.0:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

29/11/2024

Última modificación:

29/11/2024

Descripción

@E58intlify/shared es una librería compartida para el proyecto intlify. La última versión de @intlify/shared (10.0.4) es vulnerable a la contaminación de prototipos a través de la(s) función(es) de entrada lib.deepCopy. Un atacante puede proporcionar un payload con el definidor Object.prototype para introducir o modificar propiedades dentro de la cadena de prototipos global, lo que provoca una denegación de servicio (DoS) como consecuencia mínima. Además, las consecuencias de esta vulnerabilidad pueden escalar a otros ataques basados ??en inyección, según cómo se integre la librería dentro de la aplicación. Por ejemplo, si la propiedad contaminada se propaga a las API de Node.js sensibles (p. ej., exec, eval), podría permitir que un atacante ejecute comandos arbitrarios dentro del contexto de la aplicación. Este problema se ha solucionado en las versiones 9.14.2 y 10.0.5. Se recomienda a los usuarios que actualicen. No existen workarounds conocidos para esta vulnerabilidad.E57

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.90 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Bajo
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

6.90

Gravedad 4.0

MEDIA

Vulnerabilidad en intlify/shared (CVE-2024-52810)

Descripción

Impacto

Referencias a soluciones, herramientas e información