阿里云漏洞库

漏洞描述

immer is vulnerable to Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution')

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/immerjs/immer/commit/fa671e55ee9bd42ae08cc239102b665a23958237
https://huntr.dev/bounties/23d38099-71cd-42ed-a77a-71e68094adfa

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	immer_project	immer	*		Up to (including) 9.0.5
	运行在以下环境
	系统	amazon_AMI	kernel	*		Up to (excluding) 4.14.248-129.473.amzn1
	运行在以下环境
	系统	centos_7	kernel	*		Up to (excluding) 3.10.0-1160.45.1.el7
	运行在以下环境
	系统	centos_8	linux	*		Up to (excluding) 4.18.0-305.17.1.el8_4
	运行在以下环境
	系统	debian_10	linux	*		Up to (excluding) 4.19.208-1
	运行在以下环境
	系统	debian_11	linux	*		Up to (excluding) 5.10.46-5
	运行在以下环境
	系统	debian_12	linux	*		Up to (excluding) 5.10.46-4
	运行在以下环境
	系统	debian_9	linux	*		Up to (excluding) 4.9.228-1
	运行在以下环境
	系统	debian_sid	linux	*		Up to (excluding) 5.10.46-4
	运行在以下环境
	系统	fedora_33	kernel	*		Up to (excluding) 5.13.6-100.fc33
	运行在以下环境
	系统	fedora_34	kernel	*		Up to (excluding) 5.13.6-200.fc34
	运行在以下环境
	系统	opensuse_Leap_15.2	linux	*		Up to (excluding) 5.3.18-lp152.87.1
	运行在以下环境
	系统	opensuse_Leap_15.3	linux	*		Up to (excluding) 5.3.18-38.17.1
	运行在以下环境
	系统	opensuse_Leap_15.3	linux	*		Up to (excluding) 5.3.18-59.19.1.18.10.1
	运行在以下环境
	系统	oracle_7	kernel	*		Up to (excluding) 3.10.0-1160.45.1.el7
	运行在以下环境
	系统	oracle_8	kernel	*		Up to (excluding) 4.18.0-305.17.1.el8_4
	运行在以下环境
	系统	redhat_7	bpftool	*		Up to (excluding) 0:3.10.0-1160.45.1.el7
	运行在以下环境
	系统	suse_12_SP5	linux	*		Up to (excluding) 4.12.14-122.83.1
	运行在以下环境
	系统	suse_12_SP5	linux	*		Up to (excluding) 4.12.14-16.68.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	linux	*		Up to (excluding) 4.15.0-159.167
	运行在以下环境
	系统	ubuntu_8	linux	*		Up to (excluding) 4.18.0-305.17.1.el8_4

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

未更改
用户交互

无
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-1321	Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution')
CWE-915	动态确定对象属性修改的控制不恰当

immer_project immer 动态确定对象属性修改的控制不恰当

漏洞描述

解决建议

参考链接

受影响软件情况