Vulnerabilidad en csvtojson (CVE-2025-57350)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

24/09/2025

Última modificación:

17/10/2025

Descripción

El paquete csvtojson, una herramienta para convertir datos CSV a JSON con capacidades de análisis personalizables, contiene una vulnerabilidad de contaminación de prototipos en versiones anteriores a la 2.0.10. Este problema surge debido a una sanitización insuficiente de nombres de encabezado anidados durante el proceso de análisis en el componente parser_jsonarray. Al procesar entrada CSV que contiene campos de encabezado especialmente diseñados que hacen referencia a cadenas de prototipos (por ejemplo, usando la sintaxis __proto__), la aplicación puede modificar propiedades de forma no intencionada del prototipo base de Object. Esta vulnerabilidad puede conducir a condiciones de denegación de servicio o comportamiento inesperado en aplicaciones que dependen de cadenas de prototipos no modificadas, particularmente cuando se procesan datos CSV no confiables. La falla no requiere interacción del usuario más allá de proporcionar un archivo CSV construido maliciosamente.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.60 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo