CVE-2022-21824

EPSS 21.5%CWE-471

Em resumo

A função console.table() do Node.js tinha uma vulnerabilidade em que entrada especialmente construída poderia modificar o protótipo do objeto por meio de poluição de protótipo, embora de forma limitada, atribuindo strings vazias a chaves numéricas. Isso poderia afetar como objetos se comportam em uma aplicação.

Detalhe técnico

CVE-2022-21824 explora manipulação insegura de entrada controlada pelo usuário no parâmetro 'properties' de console.table() quando combinada com um objeto contendo propriedade '__proto__' como primeiro parâmetro, permitindo poluição de protótipo com capacidade restrita (atribuição de string vazia a chaves numéricas do protótipo). Node.js versões >= 12.22.9, >= 14.18.3, >= 16.13.2 e >= 17.3.1 mitigam isso usando protótipos nulos para as atribuições de propriedade afetadas.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Due to the formatting logic of the "console.table()" function it was not safe to allow user controlled input to be passed to the "properties" parameter while simultaneously passing a plain object with at least one property as the first parameter, which could be "__proto__". The prototype pollution has very limited control, in that it only allows an empty string to be assigned to numerical keys of the object prototype.Node.js >= 12.22.9, >= 14.18.3, >= 16.13.2, and >= 17.3.1 use a null protoype for the object these properties are being assigned to.

Produtos afetados

NodeJS · Node

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://hackerone.com/reports/1431042 https://lists.debian.org/debian-lts-announce/2022/10/msg00006.html https://nodejs.org/en/blog/vulnerability/jan-2022-security-releases/https://security.netapp.com/advisory/ntap-20220325-0007/https://security.netapp.com/advisory/ntap-20220729-0004/https://www.debian.org/security/2022/dsa-5170 https://www.oracle.com/security-alerts/cpuapr2022.html https://www.oracle.com/security-alerts/cpujul2022.html