CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-41558
https://notcve.org/view.php?id=CVE-2021-41558
The set_user extension module before 3.0.0 for PostgreSQL allows ProcessUtility_hook bypass via set_config. El módulo de extensión set_user versiones anteriores a 3.0.0, para PostgreSQL permite omitir ProcessUtility_hook por medio de set_config • https://github.com/pgaudit/set_user/releases/tag/REL3_0_0 •
CVSS: 9.8EPSS: 6%CPEs: 3EXPL: 3CVE-2021-23440 – Prototype Pollution
https://notcve.org/view.php?id=CVE-2021-23440
This affects the package set-value before <2.0.1, >=3.0.0 <4.0.1. A type confusion vulnerability can lead to a bypass of CVE-2019-10747 when the user-provided keys used in the path parameter are arrays. Esto afecta al paquete set-value anterior a la versión 2.0.1, posterior o igual a la versión 3.0.0 y anterior a la versión 4.0.1. Una vulnerabilidad de confusión de tipos puede conducir a una derivación de CVE-2019-10747 cuando las claves proporcionadas por el usuario utilizadas en el parámetro de ruta son matrices A type confusion vulnerability in nodejs-set-value can lead to a bypass of CVE-2019-10747. If the user-provided keys used in the path parameter are arrays, the function mixin-deep can be tricked into adding or modifying properties of Object.prototype using any of the constructor, prototype, or _proto_ payloads. • https://github.com/jonschlinkert/set-value/commit/7cf8073bb06bf0c15e08475f9f952823b4576452 https://github.com/jonschlinkert/set-value/pull/33 https://snyk.io/vuln/SNYK-JAVA-ORGWEBJARSNPM-1584212 https://snyk.io/vuln/SNYK-JS-SETVALUE-1540541 https://www.huntr.dev/bounties/2eae1159-01de-4f82-a177-7478a408c4a2 https://www.oracle.com/security-alerts/cpujan2022.html https://access.redhat.com/security/cve/CVE-2021-23440 https://bugzilla.redhat.com/show_bug.cgi?id=2004944 • CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-38140
https://notcve.org/view.php?id=CVE-2021-38140
The set_user extension module before 2.0.1 for PostgreSQL allows a potential privilege escalation using RESET SESSION AUTHORIZATION after set_user(). El módulo de extensión set_user versiones anteriores a 2.0.1, para PostgreSQL, permite una potencial escalada de privilegios usando RESET SESSION AUTHORIZATION después de la función set_user() • https://github.com/pgaudit/set_user/compare/REL2_0_0...REL2_0_1 https://github.com/pgaudit/set_user/releases/tag/REL2_0_1 • CWE-269: Improper Privilege Management •
CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 1CVE-2021-25952
https://notcve.org/view.php?id=CVE-2021-25952
Prototype pollution vulnerability in ‘just-safe-set’ versions 1.0.0 through 2.2.1 allows an attacker to cause a denial of service and may lead to remote code execution. Una vulnerabilidad de Contaminación de Prototipos en "just-safe-set" versiones 1.0.0 hasta 2.2.1, permite a un atacante causar una denegación de servicio y puede conllevar a una ejecución de código remota • https://github.com/angus-c/just/commit/dd57a476f4bb9d78c6f60741898dc04c71d2eb53 https://www.whitesourcesoftware.com/vulnerability-database/CVE-2021-25952 • CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 2CVE-2021-25949
https://notcve.org/view.php?id=CVE-2021-25949
Prototype pollution vulnerability in 'set-getter' version 0.1.0 allows an attacker to cause a denial of service and may lead to remote code execution. La vulnerabilidad de contaminación de prototipos en la versión 0.1.0 de 'set-getter' permite a un atacante causar una denegación de servicio y puede llevar a la ejecución remota de código • https://github.com/doowb/set-getter/blob/5bc2750fe1c3db9651d936131be187744111378d/index.js#L56 https://www.whitesourcesoftware.com/vulnerability-database/CVE-2021-25949 • CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') •