CVE-2021-41097

Prototype pollution in aurelia-path

CVSS 9.1 CRITICALEPSS 4.9%CWE-1321

En resumen

Una vulnerabilidad en la biblioteca aurelia-path permite que atacantes modifiquen el prototipo del objeto base de JavaScript a través de URLs maliciosas, afectando potencialmente todas las aplicaciones Aurelia que procesan rutas o URLs proporcionadas por usuarios.

Detalle técnico

Vulnerabilidad de prototype pollution en aurelia-path anterior a la versión 1.1.7, explotada mediante parámetros de URL especialmente construidos (ej: __proto__[propiedad]=valor). Vector de ataque requiere que la aplicación procese URLs controladas por el atacante; el impacto incluye modificación arbitraria del prototipo Object, afectando todos los objetos de la aplicación y potencialmente conduciendo a ejecución remota de código o denegación de servicio.

Resumen generado y traducido por IA a partir de la descripción oficial.

aurelia-path is part of the Aurelia platform and contains utilities for path manipulation. There is a prototype pollution vulnerability in aurelia-path before version 1.1.7. The vulnerability exposes Aurelia application that uses `aurelia-path` package to parse a string. The majority of this will be Aurelia applications that employ the `aurelia-router` package. An example is this could allow an attacker to change the prototype of base object class `Object` by tricking an application to parse the following URL: `https://aurelia.io/blog/?__proto__[asdf]=asdf`. The problem is patched in version `1.1.7`.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Productos afectados

aurelia · path

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/aurelia/path/commit/7c4e235433a4a2df9acc313fbe891758084fdec1 https://github.com/aurelia/path/issues/44 https://github.com/aurelia/path/releases/tag/1.1.7 https://github.com/aurelia/path/security/advisories/GHSA-3c9c-2p65-qvwv https://www.npmjs.com/package/aurelia-path