CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 2CVE-2022-45688
https://notcve.org/view.php?id=CVE-2022-45688
A stack overflow in the XML.toJSONObject component of hutool-json v5.8.10 allows attackers to cause a Denial of Service (DoS) via crafted JSON or XML data. Un desbordamiento de pila en el componente XML.toJSONObject de hutool-json v5.8.10 permite a los atacantes provocar una Denegación de Servicio (DoS) a través de datos JSON o XML manipulados. • https://github.com/dromara/hutool/issues/2748 https://github.com/stleary/JSON-java/issues/708 • CWE-787: Out-of-bounds Write •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2022-42743
https://notcve.org/view.php?id=CVE-2022-42743
deep-parse-json version 1.0.2 allows an external attacker to edit or add new properties to an object. This is possible because the application does not correctly validate the incoming JSON keys, thus allowing the '__proto__' property to be edited. La versión 1.0.2 de deep-parse-json permite a un atacante externo editar o agregar nuevas propiedades a un objeto. Esto es posible porque la aplicación no valida correctamente las claves JSON entrantes, permitiendo así editar la propiedad '__proto__'. • https://fluidattacks.com/advisories/buuren https://github.com/sibu-github/deep-parse-json • CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 1CVE-2022-41714
https://notcve.org/view.php?id=CVE-2022-41714
fastest-json-copy version 1.0.1 allows an external attacker to edit or add new properties to an object. This is possible because the application does not correctly validate the incoming JSON keys, thus allowing the '__proto__' property to be edited. La versión 1.0.1 de Fast-Json-copy permite a un atacante externo editar o agregar nuevas propiedades a un objeto. Esto es posible porque la aplicación no valida correctamente las claves JSON entrantes, permitiendo así editar la propiedad '__proto__'. • https://fluidattacks.com/advisories/guetta https://github.com/streamich/fastest-json-copy • CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-38882
https://notcve.org/view.php?id=CVE-2022-38882
The d8s-json for python, as distributed on PyPI, included a potential code-execution backdoor inserted by a third party. The backdoor is the democritus-strings package. The affected version is 0.1.0. d8s-json para python, tal y como es distribuido en PyPI, incluía una potencial puerta trasera de ejecución de código insertada por un tercero. La puerta trasera es el paquete democritus-strings. La versión afectada es 0.1.0 • https://github.com/democritus-project/d8s-json/issues/9 https://pypi.org/project/d8s-json https://pypi.org/project/democritus-strings • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2022-25921 – Arbitrary Code Execution
https://notcve.org/view.php?id=CVE-2022-25921
All versions of package morgan-json are vulnerable to Arbitrary Code Execution due to missing sanitization of input passed to the Function constructor. Todas las versiones del paquete morgan-json son vulnerables a una Ejecución Arbitraria de Código debido a una falta de saneo de la entrada pasada al constructor de la función • https://github.com/indexzero/morgan-json/blob/3a76010215a4256d41687d082cd66c4f00ea5717/index.js%23L46 https://security.snyk.io/vuln/SNYK-JS-MORGANJSON-2976193 •