Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2023-0842

Опубликовано: 05 апр. 2023
Источник: redhat
CVSS3: 5.3
EPSS Низкий

Описание

xml2js version 0.4.23 allows an external attacker to edit or add new properties to an object. This is possible because the application does not properly validate incoming JSON keys, thus allowing the proto property to be edited.

A flaw was found in node-xml2js. This flaw allows an external attacker to edit or add new properties to an object. This is possible because the application does not properly validate incoming JSON keys, making it possible to edit the proto property.

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
OpenShift Service Mesh 2openshift-service-mesh/kiali-rhel8Will not fix
OpenShift Service Mesh 2.1openshift-service-mesh/kiali-rhel8Will not fix
Red Hat A-MQ Onlinenode-xml2jsNot affected
Red Hat Data Grid 8xml2jsWill not fix
Red Hat Enterprise Linux 6firefoxOut of support scope
Red Hat Enterprise Linux 7firefoxOut of support scope
Red Hat Enterprise Linux 8mozjs60Not affected
Red Hat Enterprise Linux 9gjsNot affected
Red Hat Enterprise Linux 9polkitNot affected
Red Hat Fuse 7node-xml2jsOut of support scope

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate
Дефект:
CWE-1321
https://bugzilla.redhat.com/show_bug.cgi?id=2193459node-xml2js: xml2js is vulnerable to prototype pollution

EPSS

Процентиль: 46%
0.00231
Низкий

5.3 Medium

CVSS3

Связанные уязвимости

ubuntu логотип

CVE-2023-0842

CVSS3: 5.3
ubuntu
почти 3 года назад

xml2js version 0.4.23 allows an external attacker to edit or add new properties to an object. This is possible because the application does not properly validate incoming JSON keys, thus allowing the __proto__ property to be edited.

nvd логотип

CVE-2023-0842

CVSS3: 5.3
nvd
почти 3 года назад

xml2js version 0.4.23 allows an external attacker to edit or add new properties to an object. This is possible because the application does not properly validate incoming JSON keys, thus allowing the __proto__ property to be edited.

debian логотип

CVE-2023-0842

CVSS3: 5.3
debian
почти 3 года назад

xml2js version 0.4.23 allows an external attacker to edit or add new p ...

github логотип

GHSA-776f-qx25-q3cc

CVSS3: 5.3
github
почти 3 года назад

xml2js is vulnerable to prototype pollution

fstec логотип

BDU:2023-03176

CVSS3: 5.3
fstec
почти 3 года назад

Уязвимость программного средства для конвертации XML-объектов в JavaScript xml2js, связанная с неконтролируемым изменением атрибутов прототипа объекта, позволяющая нарушителю редактировать или добавлять новые свойства объекта

EPSS

Процентиль: 46%
0.00231
Низкий

5.3 Medium

CVSS3