exploitDog

GHSA-p6mc-m468-83gw

Опубликовано: 15 июл. 2020

Источник: github

Github: Прошло ревью

CVSS3: 7.4

Описание

Prototype Pollution in lodash

Versions of lodash prior to 4.17.19 are vulnerable to Prototype Pollution. The functions pick, set, setWith, update, updateWith, and zipObjectDeep allow a malicious user to modify the prototype of Object if the property identifiers are user-supplied. Being affected by this issue requires manipulating objects based on user-provided property values or arrays.

This vulnerability causes the addition or modification of an existing property that will exist on all objects and may lead to Denial of Service or Code Execution under specific circumstances.

Ссылки

Пакеты

Наименование

lodash

npm

Затронутые версииВерсия исправления

>= 3.7.0, < 4.17.19

4.17.19

Наименование

lodash-es

npm

Затронутые версииВерсия исправления

>= 3.7.0, < 4.17.20

4.17.20

Наименование

lodash.pick

npm

Затронутые версииВерсия исправления

>= 4.0.0, <= 4.4.0

Отсутствует

Наименование

lodash.set

npm

Затронутые версииВерсия исправления

>= 3.7.0, <= 4.3.2

Отсутствует

Наименование

lodash.setwith

npm

Затронутые версииВерсия исправления

<= 4.3.2

Отсутствует

Наименование

lodash.update

npm

Затронутые версииВерсия исправления

<= 4.10.2

Отсутствует

Наименование

lodash.updatewith

npm

Затронутые версииВерсия исправления

<= 4.10.2

Отсутствует

EPSS

Процентиль: 87%

0.03276

Низкий

7.4 High

CVSS3

CVE ID

Дефекты

CWE-1321

CWE-770

Связанные уязвимости

CVE-2020-8203

CVSS3: 7.4

ubuntu

почти 5 лет назад

Prototype pollution attack when using _.zipObjectDeep in lodash before 4.17.20.

CVE-2020-8203

CVSS3: 7.4

redhat

около 5 лет назад

Prototype pollution attack when using _.zipObjectDeep in lodash before 4.17.20.

CVE-2020-8203

CVSS3: 7.4

nvd

почти 5 лет назад

Prototype pollution attack when using _.zipObjectDeep in lodash before 4.17.20.

CVE-2020-8203

CVSS3: 7.4

debian

почти 5 лет назад

Prototype pollution attack when using _.zipObjectDeep in lodash before ...

BDU:2021-02443

CVSS3: 7.4

fstec

около 5 лет назад

Уязвимость реализации метода _.zipObjectDeep() библиотеки Lodash, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

EPSS

Процентиль: 87%

0.03276

Низкий

7.4 High

CVSS3

CVE ID

Дефекты

CWE-1321

CWE-770