CVE-2021-41097
Prototype pollution in aurelia-path
Em resumo
Uma falha na biblioteca aurelia-path permite que atacantes modifiquem o protótipo do objeto base do JavaScript através de URLs maliciosas, afetando potencialmente todas as aplicações Aurelia que processam caminhos ou URLs fornecidas por usuários.
Detalhe técnico
Vulnerabilidade de prototype pollution na aurelia-path anterior à versão 1.1.7, explorada por parâmetros de URL especialmente construídos (ex: __proto__[propriedade]=valor). Vetor de ataque requer que a aplicação processe URLs controladas pelo atacante; o impacto inclui modificação arbitrária do protótipo Object, afetando todos os objetos da aplicação e potencialmente levando a execução de código remoto ou negação de serviço.
Resumo gerado e traduzido por IA a partir da descrição oficial.
aurelia-path is part of the Aurelia platform and contains utilities for path manipulation. There is a prototype pollution vulnerability in aurelia-path before version 1.1.7. The vulnerability exposes Aurelia application that uses `aurelia-path` package to parse a string. The majority of this will be Aurelia applications that employ the `aurelia-router` package. An example is this could allow an attacker to change the prototype of base object class `Object` by tricking an application to parse the following URL: `https://aurelia.io/blog/?__proto__[asdf]=asdf`. The problem is patched in version `1.1.7`.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Produtos afetados
aurelia · pathQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →