MikroORM — это ORM TypeScript для Node.js, основанный на шаблонах Data Mapper, Unit of Work и Identity Map. До версий 6.6.10 и 7.0.6 уязвимость загрязнения прототипа существовала в помощнике Utils.merge, используемом внутри MikroORM при слиянии структур объектов. Функция не препятствовала использованию специальных ключей, таких как __proto__, конструктор или прототип, что позволяло контролируемому злоумышленником вводу изменять прототип объекта JavaScript при слиянии.
Эта проблема исправлена в версиях 6.6.10 и 7.0.6.
Показать оригинальное описание (EN)
MikroORM is a TypeScript ORM for Node.js based on Data Mapper, Unit of Work and Identity Map patterns. Prior to versions 6.6.10 and 7.0.6, a prototype pollution vulnerability exists in the Utils.merge helper used internally by MikroORM when merging object structures. The function did not prevent special keys such as __proto__, constructor, or prototype, allowing attacker-controlled input to modify the JavaScript object prototype when merged. This issue has been patched in versions 6.6.10 and 7.0.6.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Mikro-Orm Mikroorm
cpe:2.3:a:mikro-orm:mikroorm:*:*:*:*:*:node.js:*:*
|
— |
6.6.10
|
|
Mikro-Orm Mikroorm
cpe:2.3:a:mikro-orm:mikroorm:*:*:*:*:*:node.js:*:*
|
7.0.0
|
7.0.6
|