One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8352542 |
| Date de publication | 2023-07-05 14:15:09 (vue: 2023-07-05 17:06:58) |
| Titre | CVE-2023-36665 |
| Texte | Protobuf.js (aka Protobufjs) 6.10.0 à 7.x avant 7.2.4 permet une pollution prototype, une vulnérabilité différente de CVE-2022-25878.Un message Protobuf contrôlé par l'utilisateur peut être utilisé par un attaquant pour polluer le prototype d'objet.prototype en ajoutant et en écrasant ses données et ses fonctions.L'exploitation peut impliquer: (1) en utilisant l'analyse de la fonction pour analyser les messages Protobuf à la volée, (2) le chargement de fichiers .proto en utilisant des fonctions Load / LoadSync, ou (3) fournissant une entrée non fiable aux fonctions ReflectionObject.SetParsedOption et util.setproperty.Remarque: Cet enregistrement CVE concerne "object.constructor.prototype. = ...;"Alors que CVE-2022-25878 était sur "Object .__ Proto __. = ...;"plutôt.
protobuf.js (aka protobufjs) 6.10.0 through 7.x before 7.2.4 allows Prototype Pollution, a different vulnerability than CVE-2022-25878. A user-controlled protobuf message can be used by an attacker to pollute the prototype of Object.prototype by adding and overwriting its data and functions. Exploitation can involve: (1) using the function parse to parse protobuf messages on the fly, (2) loading .proto files by using load/loadSync functions, or (3) providing untrusted input to the functions ReflectionObject.setParsedOption and util.setProperty. NOTE: this CVE Record is about "Object.constructor.prototype. = ...;" whereas CVE-2022-25878 was about "Object.__proto__. = ...;" instead. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2022 2023 25878 36665 about adding allows attacker before can constructor controlled cve data different exploitation files fly function functions input instead involve: its load/loadsync loading message messages note: object overwriting parse pollute pollution proto protobuf protobufjs prototype providing record reflectionobject setparsedoption setproperty than through untrusted used user using util vulnerability whereas |
| Tags | Vulnerability |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.