漏洞标题
@clickbar/dot-diver中的原型污染漏洞
漏洞描述信息
## 漏洞概述
Dot diver 是一个轻量级、强大的 TypeScript 实用库,提供了处理点表示法对象路径的类型和函数。在 1.0.2 之前的版本中,`setByPath` 函数存在原型污染漏洞,可能导致远程代码执行 (RCE)。
## 影响版本
- 所有低于 1.0.2 的版本
## 漏洞细节
`setByPath` 函数中的原型污染漏洞可能导致攻击者通过修改对象原型来执行任意代码。此问题已在 commit `98daf567` 中修复,并包含在 1.0.2 版本中。
## 影响
此漏洞可能导致远程代码执行,严重威胁系统安全。建议用户尽快升级到 1.0.2 或更高版本。目前没有已知的工作绕过方法。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
CWE-1321
漏洞标题
Prototype Pollution vulnerability in @clickbar/dot-diver
漏洞描述信息
Dot diver is a lightweight, powerful, and dependency-free TypeScript utility library that provides types and functions to work with object paths in dot notation. In versions prior to 1.0.2 there is a Prototype Pollution vulnerability in the `setByPath` function which can leads to remote code execution (RCE). This issue has been addressed in commit `98daf567` which has been included in release 1.0.2. Users are advised to upgrade. There are no known workarounds to this vulnerability.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
漏洞类别
N/A
漏洞标题
Dot diver 安全漏洞
漏洞描述信息
Dot diver是一个轻量级、功能强大且无依赖的 TypeScript 实用程序库,提供用于处理点表示法中的对象路径的类型和函数。 Dot diver 1.0.2之前版本存在安全漏洞。攻击者利用该漏洞可以远程执行代码。
CVSS信息
N/A
漏洞类别
其他