GHSA-gpvc-mx6g-cchv

Опубликовано: 01 авг. 2023

Источник: github

Github: Прошло ревью

CVSS3: 7.5

Описание

underscore-keypath vulnerable to Prototype Pollution

Versions of the package underscore-keypath from 0.0.11 are vulnerable to Prototype Pollution via the name argument of the setProperty() function. Exploiting this vulnerability is possible due to improper input sanitization which allows the usage of arguments like __proto__.

Ссылки

Пакеты

Наименование

underscore-keypath

npm

Затронутые версииВерсия исправления

>= 0.0.11, <= 0.9.3

Отсутствует

EPSS

Процентиль: 32%

0.00127

Низкий

7.5 High

CVSS3

CVE ID

CVE-2023-26139

Дефекты

CWE-1321

Связанные уязвимости

CVE-2023-26139

CVSS3: 7.5

nvd

больше 2 лет назад

Versions of the package underscore-keypath from 0.0.11 are vulnerable to Prototype Pollution via the name argument of the setProperty() function. Exploiting this vulnerability is possible due to improper input sanitization which allows the usage of arguments like “__proto__”.

EPSS

Процентиль: 32%

0.00127

Низкий

7.5 High

CVSS3

CVE ID

CVE-2023-26139

Дефекты

CWE-1321