CVE-2020-7637

描述

class-transformer through 0.2.3 is vulnerable to Prototype Pollution. The 'classToPlainFromExist' function could be tricked into adding or modifying properties of 'Object.prototype' using a '__proto__' payload.

如何修補 CVE-2020-7637

要修補 CVE-2020-7637,請將受影響套件升級到下列已修補版本。

• npm/class-transformer—升級至 0.3.1 或更新版本

CVE-2020-7637 正在被利用嗎?

低 — EPSS 為 0.3%,目前沒有觀察到大規模利用活動。

受影響套件(1)

• from 0, < 0.3.1

CVSS 分數

參考連結(5)

• ADVISORYnvd.nist.gov/vuln/detail/CVE-2020-7637
• PATCHgithub.com/typestack/class-transformer
• WEBgithub.com/typestack/class-transformer/blob/a650d9f490573443f62508bc063b857bcd5e2525/src/ClassTransformer.ts#L29-L31,
• WEBgithub.com/typestack/class-transformer/commit/8f04eb9db02de708f1a20f6f2d2bb309b2fed01e