CVE-2021-23408

描述

This affects the package `com.graphhopper:graphhopper-web-bundle` before 3.2, from 4.0-pre1 and before 4.0. The URL parser could be tricked into adding or modifying properties of Object.prototype using a constructor or __proto__ payload.

如何修補 CVE-2021-23408

要修補 CVE-2021-23408,請將受影響套件升級到下列已修補版本。

• Maven/com.graphhopper:graphhopper-web-bundle—升級至 3.2 或更新版本

CVE-2021-23408 正在被利用嗎?

低 — EPSS 為 0.3%,目前沒有觀察到大規模利用活動。

受影響套件(1)

• from 0, < 3.2

CVSS 分數

參考連結(5)

• ADVISORYnvd.nist.gov/vuln/detail/CVE-2021-23408
• WEBgithub.com/graphhopper/graphhopper/pull/2370
• WEBgithub.com/graphhopper/graphhopper/releases/tag/3.1
• WEBgithub.com/graphhopper/graphhopper/releases/tag/3.2
• WEB