BDU:2024-01227

Опубликовано: 03 нояб. 2023

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость библиотеки dot-diver связана с неконтролируемым изменением атрибутов прототипа объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

dot-diver

Версия ПО

до 1.0.2 (dot-diver)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/clickbar/dot-diver/commit/98daf567390d816fd378ec998eefe2e97f293d5a

https://github.com/clickbar/dot-diver/security/advisories/GHSA-9w5f-mw3p-pj47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-45827
CVE

EPSS

Процентиль: 92%

0.08398

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-45827

CVSS3: 7.3

nvd

больше 2 лет назад

Dot diver is a lightweight, powerful, and dependency-free TypeScript utility library that provides types and functions to work with object paths in dot notation. In versions prior to 1.0.2 there is a Prototype Pollution vulnerability in the `setByPath` function which can leads to remote code execution (RCE). This issue has been addressed in commit `98daf567` which has been included in release 1.0.2. Users are advised to upgrade. There are no known workarounds to this vulnerability.

GHSA-9w5f-mw3p-pj47