Immutable.js предоставляет множество постоянных неизменяемых структур данных. До версий 3.8.3, 4.3.7 и 5.1.5 загрязнение прототипов было возможно в неизменяемом виде с помощью API mergeDeep(), mergeDeepWith(), merge(), Map.toJS() и Map.toObject(). Эта проблема исправлена в версиях 3.8.3, 4.3.7 и 5.1.5.
Показать оригинальное описание (EN)
Immutable.js provides many Persistent Immutable data structures. Prior to versions 3.8.3, 4.3.7, and 5.1.5, Prototype Pollution is possible in immutable via the mergeDeep(), mergeDeepWith(), merge(), Map.toJS(), and Map.toObject() APIs. This issue has been patched in versions 3.8.3, 4.3.7, and 5.1.5.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 4
https://github.com/immutable-js/immutable-js/releases/tag/v3.8.3
security-advisories@github.com
https://github.com/immutable-js/immutable-js/releases/tag/v4.3.8
security-advisories@github.com
https://github.com/immutable-js/immutable-js/releases/tag/v5.1.5
security-advisories@github.com
https://github.com/immutable-js/immutable-js/security/advisories/GHSA-wf6x-7x77…
security-advisories@github.com