Dottie обеспечивает доступ к вложенным объектам и манипулирование ими в JavaScript. Версии с 2.0.4 по 2.0.6 содержат неполное исправление CVE-2023-26132. Прототип защиты от загрязнения, представленный в коммите `7d3aee1`, проверяет только первый сегмент пути, разделенного точкой, что позволяет злоумышленнику обойти защиту, разместив `__proto__` в любой позиции, кроме первой.
Затрагиваются как `dottie.set()`, так и `dottie.transform()`. Версия 2.0.7 содержит обновленное исправление для устранения остаточной уязвимости.
Показать оригинальное описание (EN)
Dottie provides nested object access and manipulation in JavaScript. Versions 2.0.4 through 2.0.6 contain an incomplete fix for CVE-2023-26132. The prototype pollution guard introduced in commit `7d3aee1` only validates the first segment of a dot-separated path, allowing an attacker to bypass the protection by placing `__proto__` at any position other than the first. Both `dottie.set()` and `dottie.transform()` are affected. Version 2.0.7 contains an updated fix to address the residual vulnerability.
Характеристики атаки
Последствия
Строка CVSS v3.1