Vulnerabilidad en content-security-policy-parser (CVE-2025-55164)

Gravedad CVSS v4.0:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

12/08/2025

Última modificación:

20/08/2025

Descripción

content-security-policy-parser analiza las directivas de políticas de seguridad de contenido. Existe una vulnerabilidad de contaminación de prototipos en las versiones 0.5.0 y anteriores, donde si el nombre de una política se llama __proto__, se puede anular el prototipo del objeto. Este problema se ha corregido en la versión 0.6.0. Una solución alternativa consiste en deshabilitar el método de prototipo en NodeJS, neutralizando así todos los posibles ataques de contaminación de prototipos. Proporcione --disable-proto=delete (recomendado) o --disable-proto=throw como argumento a node para habilitar esta función.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.80

Gravedad 4.0

ALTA

Vulnerabilidad en content-security-policy-parser (CVE-2025-55164)

Descripción

Impacto

Referencias a soluciones, herramientas e información