For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00224
Identificador(es)
ASA-2019-00224, CVE-2019-11358
Título
Vulnerabilidade de poluição de object prototype
Fabricante(s)
The jQuery project
Produto(s)
jQuery
Versão(ões) afetada(s)
jQuery versões anterior à v3.4.0
Versão(ões) corrigida(s)
jQuery v3.4.0
Prova de conceito
Desconhecido
Descrição
Foi descoberto um vulnerabilidade de poluição de object prototype no jQuery, uma biblioteca JavaScript.
O objeto JavaScript é como uma variável que pode ser usada para armazenar vários valores com base em uma estrutura predefinida. Um protótipo é usado para definir a estrutura padrão e os valores padrão de um objeto. É essencial especificar uma estrutura esperada, particularmente quando nenhum valor é definido.
Esta vulnerabilidade permite que um atacante modifique o prototype de objetos JavaScript de um aplicativo da web. No entanto, cada exploração deve ser ajustada individualmente para o destino específico, exigindo, portanto, que o atacante tenha conhecimento profundo de como cada aplicativo da Web funciona.
Detalhes técnicos
Desconhecido
Créditos
Desconhecido
Referência(s)
After three years of silence, a new jQuery prototype pollution vulnerability emerges once again
https://snyk.io/blog/after-three-years-of-silence-a-new-jquery-prototype-pollution-vulnerability-emerges-once-again/
[SingCERT] Object Prototype Pollution Vulnerability (CVE-2019-11358) in jQuery
https://www.csa.gov.sg/singcert/news/advisories-alerts/object-prototype-pollution-vulnerability-in-jquery
Core: Prevent Object.prototype pollution for $.extend( true, … )
https://github.com/jquery/jquery/commit/753d591aea698e57d6db58c9f722cd0808619b1b
Core: Prevent Object.prototype pollution for $.extend( true, … ) #4333
https://github.com/jquery/jquery/pull/4333
jQuery 3.4.0 Released
https://blog.jquery.com/2019/04/10/jquery-3-4-0-released/
Drupal core – Moderately critical – Cross Site Scripting – SA-CORE-2019-006
https://www.drupal.org/sa-core-2019-006
CVE-2019-11358
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11358
CVE-2019-11358
https://nvd.nist.gov/vuln/detail/CVE-2019-11358
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 23 setembro 2019