GHSA-8v9x-9xqg-r8mr

Опубликовано: 10 мая 2021

Источник: github

Github: Прошло ревью

CVSS3: 7.5

Описание

Prototype pollution in json8-merge-patch

Prototype pollution vulnerability in json8-merge-patch npm package < 1.0.3 may allow attackers to inject or modify methods and properties of the global object constructor.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2020-8268
https://github.com/sonnyp/JSON8/issues/113
https://github.com/sonnyp/JSON8/commit/2e890261b66cbc54ae01d0c79c71b0fd18379e7e#diff-faa7bef039022bc7ca1c613331b2373950ddd3d65ebf25d1699fbdf89773a387
https://hackerone.com/reports/980649
https://www.npmjs.com/package/json8-merge-patch

Пакеты

Наименование

json8-merge-patch

npm

Затронутые версииВерсия исправления

< 1.0.3

1.0.3

EPSS

Процентиль: 39%

0.00175

Низкий

7.5 High

CVSS3

CVE ID

CVE-2020-8268

Дефекты

CWE-1321

CWE-20

CWE-471

Связанные уязвимости

CVE-2020-8268

CVSS3: 7.5

nvd

около 5 лет назад

Prototype pollution vulnerability in json8-merge-patch npm package < 1.0.3 may allow attackers to inject or modify methods and properties of the global object constructor.

EPSS

Процентиль: 39%

0.00175

Низкий

7.5 High

CVSS3

CVE ID

CVE-2020-8268

Дефекты

CWE-1321

CWE-20

CWE-471