CVE-2023-45827

Опубликовано: 06 нояб. 2023

Источник: nvd

CVSS3: 7.3

CVSS3: 9.8

EPSS Низкий

Описание

Dot diver is a lightweight, powerful, and dependency-free TypeScript utility library that provides types and functions to work with object paths in dot notation. In versions prior to 1.0.2 there is a Prototype Pollution vulnerability in the setByPath function which can leads to remote code execution (RCE). This issue has been addressed in commit 98daf567 which has been included in release 1.0.2. Users are advised to upgrade. There are no known workarounds to this vulnerability.

Ссылки

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:clickbar:dot-diver:*:*:*:*:*:node.js:*:*

Версия до 1.0.2 (исключая)

EPSS

Процентиль: 92%

0.08398

Низкий

7.3 High

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-1321

Связанные уязвимости

GHSA-9w5f-mw3p-pj47

CVSS3: 7.3

github

больше 2 лет назад

Prototype Pollution(PP) vulnerability in setByPath

BDU:2024-01227

CVSS3: 9.8

fstec

больше 2 лет назад

Уязвимость библиотеки dot-diver, связанная с неконтролируемым изменением атрибутов прототипа объекта, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 92%

0.08398

Низкий

7.3 High

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-1321