ASA-2019-00224 – jQuery: Vulnerabilidade de poluição de object prototype

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00224

Identificador(es)

ASA-2019-00224, CVE-2019-11358

Título

Vulnerabilidade de poluição de object prototype

Fabricante(s)

The jQuery project

Produto(s)

jQuery

Versão(ões) afetada(s)

jQuery versões anterior à v3.4.0

Versão(ões) corrigida(s)

jQuery v3.4.0

Prova de conceito

Desconhecido

Descrição

Foi descoberto um vulnerabilidade  de poluição de object prototype no jQuery, uma biblioteca JavaScript.

O objeto JavaScript é como uma variável que pode ser usada para armazenar vários valores com base em uma estrutura predefinida. Um protótipo é usado para definir a estrutura padrão e os valores padrão de um objeto. É essencial especificar uma estrutura esperada, particularmente quando nenhum valor é definido.

Esta vulnerabilidade permite que um atacante modifique o prototype de objetos JavaScript de um aplicativo da web. No entanto, cada exploração deve ser ajustada individualmente para o destino específico, exigindo, portanto, que o atacante tenha conhecimento profundo de como cada aplicativo da Web funciona.

Detalhes técnicos

Desconhecido

Créditos

Desconhecido

Referência(s)

After three years of silence, a new jQuery prototype pollution vulnerability emerges once again
https://snyk.io/blog/after-three-years-of-silence-a-new-jquery-prototype-pollution-vulnerability-emerges-once-again/

[SingCERT] Object Prototype Pollution Vulnerability (CVE-2019-11358) in jQuery
https://www.csa.gov.sg/singcert/news/advisories-alerts/object-prototype-pollution-vulnerability-in-jquery

Core: Prevent Object.prototype pollution for $.extend( true, … )
https://github.com/jquery/jquery/commit/753d591aea698e57d6db58c9f722cd0808619b1b

Core: Prevent Object.prototype pollution for $.extend( true, … ) #4333
https://github.com/jquery/jquery/pull/4333

jQuery 3.4.0 Released
https://blog.jquery.com/2019/04/10/jquery-3-4-0-released/

Drupal core – Moderately critical – Cross Site Scripting – SA-CORE-2019-006
https://www.drupal.org/sa-core-2019-006

CVE-2019-11358
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11358

CVE-2019-11358
https://nvd.nist.gov/vuln/detail/CVE-2019-11358

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 23 setembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.