exploitDog

GHSA-3hw5-q855-g6cw

Опубликовано: 10 мар. 2020

Источник: github

Github: Прошло ревью

CVSS3: 7.7

Описание

Prototype Pollution in Dojox

The Dojox jQuery wrapper jqMix mixin method is vulnerable to Prototype Pollution.

Affected Area:

//https://github.com/dojo/dojox/blob/master/jq.js#L442 var tobj = {}; for(var x in props){ // the "tobj" condition avoid copying properties in "props" // inherited from Object.prototype. For example, if obj has a custom // toString() method, don't overwrite it with the toString() method // that props inherited from Object.prototype if((tobj[x] === undefined || tobj[x] != props[x]) && props[x] !== undefined && obj != props[x]){ if(dojo.isObject(obj[x]) && dojo.isObject(props[x])){ if(dojo.isArray(props[x])){ obj[x] = props[x]; }else{ obj[x] = jqMix(obj[x], props[x]); } }else{ obj[x] = props[x]; }

Ссылки

Пакеты

Наименование

dojox

npm

Затронутые версииВерсия исправления

< 1.11.10

1.11.10

Наименование

dojox

npm

Затронутые версииВерсия исправления

>= 1.12.0, < 1.12.8

1.12.8

Наименование

dojox

npm

Затронутые версииВерсия исправления

>= 1.13.0, < 1.13.7

1.13.7

Наименование

dojox

npm

Затронутые версииВерсия исправления

>= 1.14.0, < 1.14.6

1.14.6

Наименование

dojox

npm

Затронутые версииВерсия исправления

>= 1.15.0, < 1.15.3

1.15.3

Наименование

dojox

npm

Затронутые версииВерсия исправления

>= 1.16.0, < 1.16.2

1.16.2

EPSS

Процентиль: 51%

0.00278

Низкий

7.7 High

CVSS3

CVE ID

Дефекты

CWE-94

Связанные уязвимости

CVE-2020-5259

CVSS3: 7.7

ubuntu

почти 6 лет назад

In affected versions of dojox (NPM package), the jqMix method is vulnerable to Prototype Pollution. Prototype Pollution refers to the ability to inject properties into existing JavaScript language construct prototypes, such as objects. An attacker manipulates these attributes to overwrite, or pollute, a JavaScript application object prototype of the base object by injecting other values. This has been patched in versions 1.11.10, 1.12.8, 1.13.7, 1.14.6, 1.15.3 and 1.16.2

CVE-2020-5259

CVSS3: 7.7

nvd

почти 6 лет назад

In affected versions of dojox (NPM package), the jqMix method is vulnerable to Prototype Pollution. Prototype Pollution refers to the ability to inject properties into existing JavaScript language construct prototypes, such as objects. An attacker manipulates these attributes to overwrite, or pollute, a JavaScript application object prototype of the base object by injecting other values. This has been patched in versions 1.11.10, 1.12.8, 1.13.7, 1.14.6, 1.15.3 and 1.16.2

CVE-2020-5259

CVSS3: 7.7

debian

почти 6 лет назад

In affected versions of dojox (NPM package), the jqMix method is vulne ...

BDU:2021-01322

CVSS3: 5.3

fstec

почти 6 лет назад

Уязвимость реализации метода jqMix библиотеки dojox (пакет NPM), позволяющая нарушителю оказать воздействие на целостность данных

EPSS

Процентиль: 51%

0.00278

Низкий

7.7 High

CVSS3

CVE ID

Дефекты

CWE-94