apidevtools json-schema-ref-parser до 15.3.5 lib/pointer.ts Refs.set/Pointer.set эскалация привилегий

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
5.7$0-$5k1.21

СводкаИнформация

Уязвимость была найдена в apidevtools json-schema-ref-parser до 15.3.5. Она была классифицирована как критический. Неизвестная функция в библиотеке lib/pointer.ts поражена. Манипуляция приводит к Remote Privilege Escalation. Эта уязвимость была названа CVE-2026-15195. Есть возможность удалённого запуска атаки. Более того, существует эксплойт. Рекомендуется обновить затронутый компонент.

ПодробностиИнформация

Уязвимость была найдена в apidevtools json-schema-ref-parser до 15.3.5. Она была классифицирована как критический. Неизвестная функция в библиотеке lib/pointer.ts поражена. Манипуляция приводит к Remote Privilege Escalation. Использование CWE для описания проблемы приводит к CWE-1321. Слабость была опубликована под идентификатором 421. Консультация доступна для загрузки на github.com.

Эта уязвимость была названа CVE-2026-15195. Есть возможность удалённого запуска атаки. Имеются технические подробности. Популярность этой уязвимости ниже среднего. Более того, существует эксплойт. На текущий момент стоимость эксплойта может быть примерно USD $0-$5k. Согласно MITRE ATT&CK, техника атаки, используемая в данной проблеме, имеет значение T1059.

Это объявлено как Доказательство концепции.

Установка версии 15.3.6 позволяет решить данный вопрос. Последняя версия доступна для скачивания по ссылке github.com. Имя патча — a786bc6afc3674f650496472ee93d5cf74c4bd84. Патч можно скачать на github.com. Рекомендуется обновить затронутый компонент.

ПродуктИнформация

Поставщик

Имя

Версия

Лицензия

Веб-сайт

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔒
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 5.7

VulDB Базовый балл: 6.3
VulDB Временная оценка: 5.7
VulDB Вектор: 🔒
VulDB Надёжность: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надёжность: 🔍

ЭксплуатацияИнформация

Класс: эскалация привилегий
CWE: CWE-1321 / CWE-94 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔒
Статус: Доказательство концепции
Прогноз цен: 🔍
Оценка текущей цены: 🔒

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

0-дневное время: 🔒

Обновление: json-schema-ref-parser 15.3.6
Патч: a786bc6afc3674f650496472ee93d5cf74c4bd84

ХронологияИнформация

09.07.2026 Консультация опубликована
09.07.2026 +0 дни Запись VulDB создана
09.07.2026 +0 дни Последнее обновление VulDB

ИсточникиИнформация

Продукт: github.com

Консультация: 421
Статус: Подтверждённый

CVE: CVE-2026-15195 (🔒)
GCVE (CVE): GCVE-0-2026-15195
GCVE (VulDB): GCVE-100-377123
scip Labs: https://www.scip.ch/en/?labs.20161013

ВходИнформация

Создано: 09.07.2026 08:05
Изменения: 09.07.2026 08:05 (59)
Завершенный: 🔍
Отправитель: Dremig
Cache ID: 216::103

ОтправитьИнформация

принято

  • Отправить #851809: Node.js @apidevtools/json-schema-ref-parser 15.3.5 Improperly Controlled Modification of Object Prototype Attribute (по Dremig)

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Обсуждение

Do you know our Splunk app?

Download it now for free!