V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
К каталогу
CVE-2021-21304
CVE
Критический

Dynamoose — это инструмент моделирования с открытым исходным кодом для DynamoDB от Amazon. В Dynamoose начиная с версии 2.0.0 и до версии 2…

CVSS
9.8
Критический
EPSS
0.02
p76
Опубликовано
2021-01-01
Обновлено
2021-01-01
Описание

Dynamoose — это инструмент моделирования с открытым исходным кодом для DynamoDB от Amazon. В Dynamoose начиная с версии 2.0.0 и до версии 2.7.0 существовала уязвимость prototype pollution во внутреннем служебном методе «lib/utils/object/set.ts». Этот метод используется во всей кодовой базе для различных операций в Dynamoose. Мы не видели никаких доказательств эксплуатации этой уязвимости. Нет никаких доказательств того, что эта уязвимость влияет на версии 1.x.x, поскольку уязвимый метод был добавлен как часть перезаписи v2. Эта уязвимость также влияет на бета/альфа-версии v2.x.x. Версия 2.7.0 включает исправление для этой уязвимости.

Теги · CWE
Без аутентификации
CWE-915
Затронутые продукты
Dynamoose 2.0.0–2.7.0
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Хронология
2021-01-01
Опубликована
2021-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.019 · p76
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
Dynamoosejs
Dynamoose
ПродуктВендорСтатус
dynamoose*Отслеживается
Источники данных
CVE