← volver
CVE-2022-21824

CVE-2022-21824

EPSS 21.5%CWE-471
En resumen

La función console.table() en Node.js tenía una vulnerabilidad donde entrada especialmente diseñada podría modificar el prototipo del objeto mediante contaminación de prototipos, aunque de forma limitada asignando strings vacías a claves numéricas. Esto podría afectar el comportamiento de los objetos en una aplicación.

Detalle técnico

CVE-2022-21824 explota el manejo inseguro de entrada controlada por el usuario en el parámetro 'properties' de console.table() cuando se combina con un objeto que contiene la propiedad '__proto__' como primer parámetro, permitiendo contaminación de prototipo con capacidad restringida (asignación de string vacío a claves numéricas del prototipo). Las versiones de Node.js >= 12.22.9, >= 14.18.3, >= 16.13.2 y >= 17.3.1 mitigan esto usando prototipos nulos para las asignaciones de propiedades afectadas.

Resumen generado y traducido por IA a partir de la descripción oficial.
Due to the formatting logic of the "console.table()" function it was not safe to allow user controlled input to be passed to the "properties" parameter while simultaneously passing a plain object with at least one property as the first parameter, which could be "__proto__". The prototype pollution has very limited control, in that it only allows an empty string to be assigned to numerical keys of the object prototype.Node.js >= 12.22.9, >= 14.18.3, >= 16.13.2, and >= 17.3.1 use a null protoype for the object these properties are being assigned to.
Productos afectados
NodeJS · Node

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://hackerone.com/reports/1431042https://lists.debian.org/debian-lts-announce/2022/10/msg00006.htmlhttps://nodejs.org/en/blog/vulnerability/jan-2022-security-releases/https://security.netapp.com/advisory/ntap-20220325-0007/https://security.netapp.com/advisory/ntap-20220729-0004/https://www.debian.org/security/2022/dsa-5170https://www.oracle.com/security-alerts/cpuapr2022.htmlhttps://www.oracle.com/security-alerts/cpujul2022.html