Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-p9pc-299p-vxgp

Опубликовано: 04 сент. 2020
Источник: github
Github: Прошло ревью
CVSS3: 5.3

Описание

yargs-parser Vulnerable to Prototype Pollution

Affected versions of yargs-parser are vulnerable to prototype pollution. Arguments are not properly sanitized, allowing an attacker to modify the prototype of Object, causing the addition or modification of an existing property that will exist on all objects.
Parsing the argument --foo.__proto__.bar baz' adds a bar property with value baz to all objects. This is only exploitable if attackers have control over the arguments being passed to yargs-parser.

Recommendation

Upgrade to versions 13.1.2, 15.0.1, 18.1.1 or later.

Ссылки

Пакеты

Наименование

yargs-parser

npm
Затронутые версииВерсия исправления

>= 6.0.0, < 13.1.2

13.1.2

Наименование

yargs-parser

npm
Затронутые версииВерсия исправления

>= 14.0.0, < 15.0.1

15.0.1

Наименование

yargs-parser

npm
Затронутые версииВерсия исправления

>= 16.0.0, < 18.1.1

18.1.1

Наименование

yargs-parser

npm
Затронутые версииВерсия исправления

<= 5.0.0

5.0.1

EPSS

Процентиль: 30%
0.0011
Низкий

5.3 Medium

CVSS3

CVE ID

CVE-2020-7608

Дефекты

CWE-1321
CWE-915

Связанные уязвимости

ubuntu логотип

CVE-2020-7608

CVSS3: 5.3
ubuntu
больше 5 лет назад

yargs-parser could be tricked into adding or modifying properties of Object.prototype using a "__proto__" payload.

redhat логотип

CVE-2020-7608

CVSS3: 5.3
redhat
больше 5 лет назад

yargs-parser could be tricked into adding or modifying properties of Object.prototype using a "__proto__" payload.

nvd логотип

CVE-2020-7608

CVSS3: 5.3
nvd
больше 5 лет назад

yargs-parser could be tricked into adding or modifying properties of Object.prototype using a "__proto__" payload.

debian логотип

CVE-2020-7608

CVSS3: 5.3
debian
больше 5 лет назад

yargs-parser could be tricked into adding or modifying properties of O ...

fstec логотип

BDU:2021-02883

CVSS3: 5.3
fstec
больше 4 лет назад

Уязвимость библиотеки yargs-parser прикладного программного обеспечения Аврора Центр, связанная с неконтролируемым изменением атрибутов прототипа объекта, позволяющая нарушителю реализовать атаку типа «загрязнение прототипа»

EPSS

Процентиль: 30%
0.0011
Низкий

5.3 Medium

CVSS3

CVE ID

CVE-2020-7608

Дефекты

CWE-1321
CWE-915