Vulnerabilidad en dagre-d3-es (CVE-2025-57347)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

24/09/2025

Última modificación:

17/10/2025

Descripción

Existe una vulnerabilidad en el paquete Node.js &#39;dagre-d3-es&#39; versión 7.0.9, específicamente dentro de la función addConflict del módulo &#39;bk&#39;, que no logra sanear adecuadamente la entrada proporcionada por el usuario durante las operaciones de asignación de propiedades. Esta falla permite a los atacantes explotar vulnerabilidades de contaminación de prototipos inyectando valores de entrada maliciosos (por ejemplo, &#39;__proto__&#39;), lo que permite la modificación no autorizada de la cadena de prototipos del objeto JavaScript. La explotación exitosa podría conducir a condiciones de denegación de servicio, comportamiento inesperado de la aplicación o la ejecución potencial de código arbitrario en contextos donde las propiedades contaminadas son posteriormente accedidas o ejecutadas. El problema afecta a las versiones anteriores a la 7.0.11 y permanece sin parchear en el momento de la divulgación.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto