GHSA-g3vf-47fv-8f3c

Опубликовано: 11 авг. 2023

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

MrSwitch hello.js vulnerable to prototype pollution

A prototype pollution vulnerability in MrSwitch hello.js prior to version 1.18.8 allows remote attackers to execute arbitrary code via hello.utils.extend function.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2021-26505
https://github.com/MrSwitch/hello.js/issues/634
https://github.com/MrSwitch/hello.js/commit/7ab50aeff2d41991f08d4ad6c0481125eea8f6b7

Пакеты

Наименование

hellojs

npm

Затронутые версииВерсия исправления

< 1.18.8

1.18.8

EPSS

Процентиль: 79%

0.01257

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2021-26505

Дефекты

CWE-1321

Связанные уязвимости

CVE-2021-26505

CVSS3: 9.8

nvd

больше 2 лет назад

Prototype pollution vulnerability in MrSwitch hello.js version 1.18.6, allows remote attackers to execute arbitrary code via hello.utils.extend function.

EPSS

Процентиль: 79%

0.01257

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2021-26505

Дефекты

CWE-1321