CVE-2021-20087 — Prototype Pollution in jquery-deparam

描述

Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') in jquery-deparam allows a malicious user to inject properties into Object.prototype.

如何修補 CVE-2021-20087

目前尚未發布修補版本。可考慮移除受影響套件,或參考下方連結中的上游建議。

npm/jquery-deparam—未列出修補版本

CVE-2021-20087 正在被利用嗎?

低 — EPSS 為 0.8%,目前沒有觀察到大規模利用活動。

受影響套件(1)

from 0, <= 0.5.3

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	HIGH8.8	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

參考連結(3)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2021-20087
WEBgithub.com/BlackFan/client-side-prototype-pollution/blob/master/pp/jquery-deparam.md
WEBgithub.com/RetireJS/retire.js/blob/6da45fcb6a3425e55ee8181b2ac35168879bf086/repository/jsrepository-master.json#L824-L842