Fishcharlie Amazon Dynamoose 安全漏洞

CNNVD-ID编号	CNNVD-202102-604
CVE编号	CVE-2021-21304
发布时间	2021-02-08
更新时间	2021-02-18
漏洞类型	其他
漏洞来源	N/A
危险等级	超危
威胁类型	远程
厂商	N/A

漏洞介绍

Fishcharlie Amazon Dynamoose是美国Fishcharlie组织的一个建模工具。提供了Amazon DynamoDB的建模工具。

Fishcharlie Amazon Dynamoose 在2.0.0和2.7.0之前版本存在安全漏洞，该漏洞源于在内部实用程序方法 lib/utils/object/set.ts 中有一个原型污染漏洞。这个方法在Dynamoose的各种操作的整个代码库中都被使用。以下产品及版本受到影响：v2.x版本。xβ/α版本。版本2.7.0。

漏洞补丁

目前厂商已发布升级了Fishcharlie Amazon Dynamoose 安全漏洞的补丁，Fishcharlie Amazon Dynamoose 安全漏洞的补丁获取链接：

https://github.com/dynamoose/dynamoose/commit/324c62b4709204955931a187362f8999805b1d8e

参考网址

来源:MISC

链接：https://www.npmjs.com/package/dynamoose
来源:MISC

链接：https://github.com/dynamoose/dynamoose/commit/324c62b4709204955931a187362f8999805b1d8e
来源:MISC

链接：https://github.com/dynamoose/dynamoose/releases/tag/v2.7.0
来源:CONFIRM

链接：https://github.com/dynamoose/dynamoose/security/advisories/GHSA-rrqm-p222-8ph2

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202102-604