CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 2CVE-2018-16487
https://notcve.org/view.php?id=CVE-2018-16487
A prototype pollution vulnerability was found in lodash <4.17.11 where the functions merge, mergeWith, and defaultsDeep can be tricked into adding or modifying properties of Object.prototype. Se ha detectado una vulnerabilidad de contaminación de prototipo en lodash, en versiones anteriores a la 4.17.11, en la que se puede engañar a las funciones merge, mergeWith y defaultsDeep para que añadan o modifiquen las propiedades de Object.prototype. • https://github.com/ossf-cve-benchmark/CVE-2018-16487 https://hackerone.com/reports/380873 https://security.netapp.com/advisory/ntap-20190919-0004 • CWE-400: Uncontrolled Resource Consumption •
CVSS: 6.5EPSS: 0%CPEs: 5EXPL: 2CVE-2018-3721 – lodash: Prototype pollution in utilities function
https://notcve.org/view.php?id=CVE-2018-3721
lodash node module before 4.17.5 suffers from a Modification of Assumed-Immutable Data (MAID) vulnerability via defaultsDeep, merge, and mergeWith functions, which allows a malicious user to modify the prototype of "Object" via __proto__, causing the addition or modification of an existing property that will exist on all objects. El módulo de node lodash en versiones anteriores a la 4.17.5 se ve afectada por una vulnerabilidad MAID (modificación de datos asumidos como asumible) mediante las funciones "defaultsDeep", "merge" y "mergeWith", lo que permite que un usuario malicioso modifique el prototipo de "Object" mediante __proto__, provocando la adición o modificación de una propiedad existente que va a existir en todos los objetos. • https://github.com/ossf-cve-benchmark/CVE-2018-3721 https://github.com/lodash/lodash/commit/d8e069cc3410082e44eb18fcf8e7f3d08ebe1d4a https://hackerone.com/reports/310443 https://security.netapp.com/advisory/ntap-20190919-0004 https://access.redhat.com/security/cve/CVE-2018-3721 https://bugzilla.redhat.com/show_bug.cgi?id=1545884 • CWE-20: Improper Input Validation CWE-471: Modification of Assumed-Immutable Data (MAID) CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') •