Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2021-23440

Опубликовано: 12 сент. 2021
Источник: redhat
CVSS3: 7.3
EPSS Низкий

Описание

This affects the package set-value before <2.0.1, >=3.0.0 <4.0.1. A type confusion vulnerability can lead to a bypass of CVE-2019-10747 when the user-provided keys used in the path parameter are arrays.

A type confusion vulnerability in nodejs-set-value can lead to a bypass of CVE-2019-10747. If the user-provided keys used in the path parameter are arrays, the function mixin-deep can be tricked into adding or modifying properties of Object.prototype using any of the constructor, prototype, or proto payloads. This vulnerability can impact data confidentiality, integrity, and availability.

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Logging Subsystem for Red Hat OpenShiftopenshift-logging/kibana6-rhel8Will not fix
Migration Toolkit for Virtualizationmigration-toolkit-virtualization/mtv-ui-rhel8Not affected
OpenShift Service Mesh 1servicemesh-grafanaOut of support scope
OpenShift Service Mesh 1servicemesh-prometheusOut of support scope
OpenShift Service Mesh 2.0servicemesh-grafanaAffected
OpenShift Service Mesh 2.0servicemesh-prometheusAffected
Red Hat Advanced Cluster Management for Kubernetes 2rhacm2/application-ui-rhel8Not affected
Red Hat Advanced Cluster Management for Kubernetes 2rhacm2/console-api-rhel8Not affected
Red Hat Advanced Cluster Management for Kubernetes 2rhacm2/console-header-rhel8Affected
Red Hat Advanced Cluster Management for Kubernetes 2rhacm2/console-rhel8Not affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate
Дефект:
CWE-843
https://bugzilla.redhat.com/show_bug.cgi?id=2004944nodejs-set-value: type confusion allows bypass of CVE-2019-10747

EPSS

Процентиль: 20%
0.00066
Низкий

7.3 High

CVSS3

Связанные уязвимости

ubuntu логотип

CVE-2021-23440

CVSS3: 7.3
ubuntu
больше 4 лет назад

This affects the package set-value before <2.0.1, >=3.0.0 <4.0.1. A type confusion vulnerability can lead to a bypass of CVE-2019-10747 when the user-provided keys used in the path parameter are arrays.

nvd логотип

CVE-2021-23440

CVSS3: 7.3
nvd
больше 4 лет назад

This affects the package set-value before <2.0.1, >=3.0.0 <4.0.1. A type confusion vulnerability can lead to a bypass of CVE-2019-10747 when the user-provided keys used in the path parameter are arrays.

debian логотип

CVE-2021-23440

CVSS3: 7.3
debian
больше 4 лет назад

This affects the package set-value before <2.0.1, >=3.0.0 <4.0.1. A ty ...

github логотип

GHSA-4jqc-8m5r-9rpr

CVSS3: 7.3
github
больше 4 лет назад

Prototype Pollution in set-value

fstec логотип

BDU:2022-01860

CVSS3: 9.8
fstec
больше 4 лет назад

Уязвимость модуля Node Set-value, связанная с ошибками преобразования типов данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

EPSS

Процентиль: 20%
0.00066
Низкий

7.3 High

CVSS3