GHSA-6g47-63mv-qpgh

Опубликовано: 08 нояб. 2021

Источник: github

Github: Прошло ревью

CVSS3: 5.6

Описание

Prototype Pollution in dotty

This affects the package dotty before 0.1.2. A type confusion vulnerability can lead to a bypass of CVE-2021-25912 when the user-provided keys used in the path parameter are arrays.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2021-23624
https://github.com/deoxxa/dotty/commit/88f61860dcc274a07a263c32cbe9d44c24ef02d7
https://snyk.io/vuln/SNYK-JS-DOTTY-1577292

Пакеты

Наименование

dotty

npm

Затронутые версииВерсия исправления

< 0.1.2

0.1.2

EPSS

Процентиль: 62%

0.00427

Низкий

5.6 Medium

CVSS3

CVE ID

CVE-2021-23624

Дефекты

CWE-1321

CWE-843

Связанные уязвимости

CVE-2021-23624

CVSS3: 5.6

nvd

больше 4 лет назад

This affects the package dotty before 0.1.2. A type confusion vulnerability can lead to a bypass of CVE-2021-25912 when the user-provided keys used in the path parameter are arrays.

EPSS

Процентиль: 62%

0.00427

Низкий

5.6 Medium

CVSS3

CVE ID

CVE-2021-23624

Дефекты

CWE-1321

CWE-843