GHSA-c6h4-gc3f-hgjq

Опубликовано: 06 янв. 2022

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Prototype Pollution in js-data

All versions of package js-data are vulnerable to Prototype Pollution via the deepFillIn and the set functions. This is an incomplete fix of CVE-2020-28442.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2021-23574
https://github.com/js-data/js-data/issues/576
https://github.com/js-data/js-data/issues/577
https://github.com/js-data/js-data/blob/master/dist/js-data.js%23L472
https://snyk.io/vuln/SNYK-JAVA-ORGWEBJARSBOWER-2320790
https://snyk.io/vuln/SNYK-JAVA-ORGWEBJARSNPM-2320791
https://snyk.io/vuln/SNYK-JS-JSDATA-1584361

Пакеты

Наименование

js-data

npm

Затронутые версииВерсия исправления

<= 3.0.10

Отсутствует

EPSS

Процентиль: 79%

0.01272

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2021-23574

Дефекты

CWE-1321

Связанные уязвимости

CVE-2021-23574

CVSS3: 7.5

nvd

около 4 лет назад

All versions of package js-data are vulnerable to Prototype Pollution via the deepFillIn and the set functions. This is an incomplete fix of [CVE-2020-28442](https://snyk.io/vuln/SNYK-JS-JSDATA-1023655).

EPSS

Процентиль: 79%

0.01272

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2021-23574

Дефекты

CWE-1321