CVE-2020-7598

Опубликовано: 11 мар. 2020

Источник: debian

EPSS Низкий

Описание

minimist before 1.2.2 could be tricked into adding or modifying properties of Object.prototype using a "constructor" or "__proto__" payload.

Пакеты

Пакет	Статус	Версия исправления	Релиз	Тип
node-minimist	fixed	1.2.5-1		package
node-minimist	fixed	1.2.0-1+deb10u1	buster	package
node-minimist	ignored		stretch	package

Примечания

https://snyk.io/vuln/SNYK-JS-MINIMIST-559764
POC: https://gist.github.com/Kirill89/47feb345b09bf081317f08dd43403a8a
Fixed by: https://github.com/substack/minimist/commit/63e7ed05aa4b1889ec2f3b196426db4500cbda94

EPSS

Процентиль: 49%

0.00253

Низкий

Связанные уязвимости

CVE-2020-7598

CVSS3: 5.6

ubuntu

больше 5 лет назад

minimist before 1.2.2 could be tricked into adding or modifying properties of Object.prototype using a "constructor" or "__proto__" payload.

CVE-2020-7598

CVSS3: 5.6

redhat

больше 5 лет назад

minimist before 1.2.2 could be tricked into adding or modifying properties of Object.prototype using a "constructor" or "__proto__" payload.

CVE-2020-7598

CVSS3: 5.6

nvd

больше 5 лет назад

minimist before 1.2.2 could be tricked into adding or modifying properties of Object.prototype using a "constructor" or "__proto__" payload.

GHSA-vh95-rmgr-6w4m

CVSS3: 5.6

github

около 5 лет назад

Prototype Pollution in minimist

BDU:2021-02868

CVSS3: 5.6

fstec

около 4 лет назад

Уязвимость библиотеки minimist прикладного программного обеспечения Аврора Центр, связанная с неконтролируемым изменением атрибутов прототипа объекта, позволяющая нарушителю реализовать атаку типа «загрязнение прототипа»

EPSS

Процентиль: 49%

0.00253

Низкий