package nested-object-assign حتى 1.0.3 Prototype تجاوز الصلاحيات

CVSS الدرجة المؤقتة للميتاسعر الإكسبلويت الحالي (≈)درجة اهتمام CTI
6.6$0-$5k0.00

الملخصالمعلومات

ثغرة أمنية مصنفة على أنها خطيرة تم أيجادها في package nested-object-assign حتى 1.0.3. المشكلة أثرت على دالة غير معروفة من العنصر Prototype Handler. ينتج عن التلاعب حدوث تجاوز الصلاحيات. تم تسمية الثغرة بأسمCVE-2021-23329. من الممكن تنفيذ الهجوم عن بُعد. هنالك إكسبلويت متوفرة. من المستحسن ترقية المكون المتضرر.

التفاصيلالمعلومات

ثغرة أمنية مصنفة على أنها خطيرة تم أيجادها في package nested-object-assign حتى 1.0.3. المشكلة أثرت على دالة غير معروفة من العنصر Prototype Handler. ينتج عن التلاعب حدوث تجاوز الصلاحيات. عبر استخدام CWE في وصف المشكلة، سيتم الإشارة إلى CWE-94. تم نشر الضعف 31/01/2021 كـ SNYK-JS-NESTEDOBJECTASSIGN-1065977. يمكن تحميل الاستشارة من هنا snyk.io.

تم تسمية الثغرة بأسمCVE-2021-23329. من الممكن تنفيذ الهجوم عن بُعد. التفاصيل التقنية غير متوفرة. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. هنالك إكسبلويت متوفرة. يحدد مشروع MITRE ATT&CK تقنية الهجوم على أنها T1059.

إذا كان هناك قيمة لـ إثبات المفهوم، فسيتم التصريح بأنه إثبات المفهوم. باعتباره ثغرة يوم الصفر، كان السعر التقديري في السوق السوداء حوالي $0-$5k.

الترقية إلى الإصدار 1.0.4 قادرة على حل هذه المشكلة. من المستحسن ترقية المكون المتضرر.

منتجالمعلومات

الأسم

النسخة

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 7.3
VulDB الدرجة المؤقتة للميتا: 6.6

VulDB الدرجة الأساسية: 7.3
VulDB الدرجة المؤقتة: 6.6
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الفئة: تجاوز الصلاحيات
CWE: CWE-94 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
الحالة: إثبات المفهوم

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: ترقية
الحالة: 🔍

زمن الهجوم الفوري: 🔍

ترقية: package nested-object-assign 1.0.4

الجدول الزمنيالمعلومات

08/01/2021 🔍
31/01/2021 +23 أيام 🔍
31/01/2021 +0 أيام 🔍
21/02/2021 +21 أيام 🔍

المصادرالمعلومات

استشارة: SNYK-JS-NESTEDOBJECTASSIGN-1065977
الحالة: مؤكد
تأكيد: 🔍

CVE: CVE-2021-23329 (🔍)
GCVE (CVE): GCVE-0-2021-23329
GCVE (VulDB): GCVE-100-168951
scip Labs: https://www.scip.ch/en/?labs.20161013

إدخالالمعلومات

تم الإنشاء: 31/01/2021 08:35 PM
تم التحديث: 21/02/2021 10:24 PM
التغييرات: 31/01/2021 08:35 PM (40), 21/02/2021 10:17 PM (2), 21/02/2021 10:24 PM (8)
كامل: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!