Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

debian логотип

CVE-2021-23434

Опубликовано: 27 авг. 2021
Источник: debian
EPSS Низкий

Описание

This affects the package object-path before 0.11.6. A type confusion vulnerability can lead to a bypass of CVE-2020-15256 when the path components used in the path parameter are arrays. In particular, the condition currentPath === '__proto__' returns false if currentPath is ['__proto__']. This is because the === operator returns always false when the type of the operands is different.

Пакеты

ПакетСтатусВерсия исправленияРелизТип
node-object-pathfixed0.11.7-1package
node-object-pathfixed0.11.5-3+deb11u1bullseyepackage
node-object-pathend-of-lifestretchpackage

Примечания

  • https://snyk.io/vuln/SNYK-JS-OBJECTPATH-1569453

  • https://github.com/mariocasciaro/object-path/commit/7bdf4abefd102d16c163d633e8994ef154cab9eb

EPSS

Процентиль: 19%
0.00062
Низкий

Связанные уязвимости

ubuntu логотип

CVE-2021-23434

CVSS3: 5.6
ubuntu
больше 4 лет назад

This affects the package object-path before 0.11.6. A type confusion vulnerability can lead to a bypass of CVE-2020-15256 when the path components used in the path parameter are arrays. In particular, the condition currentPath === '__proto__' returns false if currentPath is ['__proto__']. This is because the === operator returns always false when the type of the operands is different.

redhat логотип

CVE-2021-23434

CVSS3: 8.6
redhat
больше 4 лет назад

This affects the package object-path before 0.11.6. A type confusion vulnerability can lead to a bypass of CVE-2020-15256 when the path components used in the path parameter are arrays. In particular, the condition currentPath === '__proto__' returns false if currentPath is ['__proto__']. This is because the === operator returns always false when the type of the operands is different.

nvd логотип

CVE-2021-23434

CVSS3: 5.6
nvd
больше 4 лет назад

This affects the package object-path before 0.11.6. A type confusion vulnerability can lead to a bypass of CVE-2020-15256 when the path components used in the path parameter are arrays. In particular, the condition currentPath === '__proto__' returns false if currentPath is ['__proto__']. This is because the === operator returns always false when the type of the operands is different.

github логотип

GHSA-v39p-96qg-c8rf

CVSS3: 5.6
github
больше 4 лет назад

Prototype Pollution in object-path

fstec логотип

BDU:2022-01861

CVSS3: 8.6
fstec
больше 4 лет назад

Уязвимость модуля Node Object-path, связанная с ошибками преобразования типов данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

EPSS

Процентиль: 19%
0.00062
Низкий