GHSA-9g9w-hmvj-5h57

Опубликовано: 26 июл. 2018

Источник: github

Github: Прошло ревью

CVSS3: 8.8

Описание

Prototype Pollution in merge-deep

Versions of merge-deep before 3.0.1 are vulnerable to prototype pollution via merging functions.

Recommendation

Update to version 3.0.1 or later.

Ссылки

Пакеты

Наименование

merge-deep

npm

Затронутые версииВерсия исправления

< 3.0.1

3.0.1

EPSS

Процентиль: 64%

0.0047

Низкий

8.8 High

CVSS3

CVE ID

CVE-2018-3722

Дефекты

CWE-471

Связанные уязвимости

CVE-2018-3722

CVSS3: 8.8

nvd

больше 7 лет назад

merge-deep node module before 3.0.1 suffers from a Modification of Assumed-Immutable Data (MAID) vulnerability, which allows a malicious user to modify the prototype of "Object" via __proto__, causing the addition or modification of an existing property that will exist on all objects.

EPSS

Процентиль: 64%

0.0047

Низкий

8.8 High

CVSS3

CVE ID

CVE-2018-3722

Дефекты

CWE-471