CVE-2022-37598

CRÍTIC: (9.8)

CVSS3: 8.6

El mòdul UglifyJS de Node.js podria permetre a un atacant remot executar codi arbitrari en el sistema, causat per una fallada de contaminació de prototips en la funció DEFNODE d’ast.js. En afegir o modificar propietats d’Object.prototype utilitzant un payload __proto__ o constructor, un atacant podria explotar aquesta vulnerabilitat per a executar codi arbitrari o causar una condició de denegació de servei en el sistema.

Sistemes Afectats

• Node.js UglifyJS 3.13.2

Remediació
No hi ha cap remei disponible en data de 5 d’Octubre de 2022.

Referències

• https://github.com/mishoo/UglifyJS/issues/5699
• https://www.mend.io/vulnerability-database/CVE-2022-37598
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37598