Svelte devalue — это библиотека JavaScript, которая сериализует значения в строки, когда JSON.stringify недостаточно для выполнения задания. В devalue v5.6.3 и более ранних версиях devalue.parse и devalue.unflatten были подвержены загрязнению прототипа через вредоносные полезные нагрузки. Успешная эксплуатация может привести к отказу в обслуживании (DoS) или путанице типов.
Эта уязвимость исправлена в версии 5.6.4.
Показать оригинальное описание (EN)
Svelte devalue is a JavaScript library that serializes values into strings when JSON.stringify isn't sufficient for the job. In devalue v5.6.3 and earlier, devalue.parse and devalue.unflatten were susceptible to prototype pollution via maliciously crafted payloads. Successful exploitation could lead to Denial of Service (DoS) or type confusion. This vulnerability is fixed in 5.6.4.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Svelte Devalue
cpe:2.3:a:svelte:devalue:*:*:*:*:*:node.js:*:*
|
— |
5.6.4
|