Underscore.deep — это коллекция примесей Underscore, которые работают с вложенными объектами. Версии `underscore.deep` до версии 0.5.3 уязв…
Underscore.deep — это коллекция примесей Underscore, которые работают с вложенными объектами. Версии `underscore.deep` до версии 0.5.3 уязвимы для уязвимости загрязнения прототипа. Злоумышленник может создать вредоносную полезную нагрузку и передать ее в `deepFromFlat`, что приведет к загрязнению любых будущих создаваемых объектов. Любым пользователям, у которых есть `deepFromFlat` или `deepPick` (из-за ее зависимости от `deepFromFlat`) в своем коде, следует обновиться до версии 0.5.3 как можно скорее. Пользователи, не имеющие возможности обновиться, могут смягчить эту проблему, изменив `deepFromFlat`, чтобы предотвратить определенные ключевые слова, которые предотвратят это.
Продукт получает от вышестоящего компонента входные данные, задающие несколько атрибутов, свойств или полей, которые должны быть инициализированы или обновлены в объекте, однако не обеспечивает надлежащего контроля над тем, какие атрибуты могут быть изменены.
https://cwe.mitre.org/data/definitions/915.html →Открыть в коллекции CWE →