CVE-2021-23413

Опубликовано: 18 апр. 2021

Источник: redhat

CVSS3: 5.3

EPSS Низкий

Описание

This affects the package jszip before 3.7.0. Crafting a new zip file with filenames set to Object prototype values (e.g proto, toString, etc) results in a returned object with a modified prototype instance.

A flaw was found in JSZip. Crafting a new zip file with filenames set to Object prototype values (ex. proto, toString, etc.) results in a returned object with a modified prototype instance. The highest threat from this vulnerability is to system availability.

Затронутые пакеты

Платформа	Пакет	Состояние
Migration Toolkit for Containers	rhmtc/openshift-migration-ui-rhel8	Affected
Red Hat Fuse 7	io.apicurio-apicurito	Not affected
Red Hat Quay 3	quay/quay-rhel8	Will not fix

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-400

https://bugzilla.redhat.com/show_bug.cgi?id=1986170jszip: crafting a new zip file with filenames set to object prototype values results in a returned object with a modified prototype instance

EPSS

Процентиль: 34%

0.0014

Низкий

5.3 Medium

CVSS3

Связанные уязвимости

CVE-2021-23413

CVSS3: 5.3

ubuntu

больше 4 лет назад

This affects the package jszip before 3.7.0. Crafting a new zip file with filenames set to Object prototype values (e.g __proto__, toString, etc) results in a returned object with a modified prototype instance.

CVE-2021-23413

CVSS3: 5.3

nvd

больше 4 лет назад

CVE-2021-23413

CVSS3: 5.3

debian

больше 4 лет назад

This affects the package jszip before 3.7.0. Crafting a new zip file w ...

GHSA-jg8v-48h5-wgxg

CVSS3: 5.3

github

больше 4 лет назад

jszip Vulnerable to Prototype Pollution

BDU:2022-02264

CVSS3: 5.3

fstec

почти 5 лет назад

Уязвимость библиотеки обработки zip файлов Jszip, связанная с неверным управлением генерацией кода, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 34%

0.0014

Низкий

5.3 Medium

CVSS3