CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 2CVE-2020-17479
https://notcve.org/view.php?id=CVE-2020-17479
jpv (aka Json Pattern Validator) before 2.2.2 does not properly validate input, as demonstrated by a corrupted array. jpv (también se conoce como Json Pattern Validator) versiones anteriores a 2.2.2, no comprueba apropiadamente la entrada, como es demostrado mediante una matriz corrupta • https://blog.sonatype.com/cve-2020-17479 https://github.com/manvel-khnkoyan/jpv/commit/e3eec1215caa8d5c560f5e88d0943422831927d6 https://github.com/manvel-khnkoyan/jpv/issues/10 https://www.npmjs.com/package/jpv • CWE-20: Improper Input Validation •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 2CVE-2019-19507
https://notcve.org/view.php?id=CVE-2019-19507
In jpv (aka Json Pattern Validator) before 2.1.1, compareCommon() can be bypassed because certain internal attributes can be overwritten via a conflicting name, as demonstrated by 'constructor': {'name':'Array'}. This affects validate(). Hence, a crafted payload can overwrite this builtin attribute to manipulate the type detection result. En jpv (también se conoce como Json Pattern Validator) versiones anteriores a 2.1.1, la función compareCommon() se puede omitir porque ciertos atributos internos pueden ser sobrescritos por medio de un nombre en conflicto, como es demostrado por 'constructor': {'name':'Array'}. Esto afecta a la función validate(). • https://github.com/ossf-cve-benchmark/CVE-2019-19507 https://github.com/manvel-khnkoyan/jpv/issues/6 https://www.npmjs.com/package/jpv • CWE-287: Improper Authentication •