CVE-2021-26707
https://notcve.org/view.php?id=CVE-2021-26707
The merge-deep library before 3.0.3 for Node.js can be tricked into overwriting properties of Object.prototype or adding new properties to it. These properties are then inherited by every object in the program, thus facilitating prototype-pollution attacks against applications using this library. La biblioteca merge-deep versiones anteriores a 3.0.3, para Node.js puede ser engañado para sobrescribir propiedades de Object.prototype o añadirle nuevas propiedades. Estas propiedades son heredadas por todos los objetos del programa, facilitando así los ataques de contaminación de prototipos contra las aplicaciones que usan esta biblioteca • https://github.com/jonschlinkert/merge-deep/commit/11e5dd56de8a6aed0b1ed022089dbce6968d82a5 https://security.netapp.com/advisory/ntap-20210716-0008 https://securitylab.github.com/advisories/GHSL-2020-160-merge-deep https://www.npmjs.com/package/merge-deep • CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') •
CVE-2018-3722
https://notcve.org/view.php?id=CVE-2018-3722
merge-deep node module before 3.0.1 suffers from a Modification of Assumed-Immutable Data (MAID) vulnerability, which allows a malicious user to modify the prototype of "Object" via __proto__, causing the addition or modification of an existing property that will exist on all objects. El módulo de node merge-deep en versiones anteriores a la 3.0.1 se ve afectada por una vulnerabilidad MAID (modificación de datos asumidos como asumible), lo que permite que un usuario malicioso modifique el prototipo de "Object" mediante __proto__, provocando la adición o modificación de una propiedad existente que va a existir en todos los objetos. • https://github.com/ossf-cve-benchmark/CVE-2018-3722 https://github.com/jonschlinkert/merge-deep/commit/2c33634da7129a5aefcc262d2fec2e72224404e5 https://hackerone.com/reports/310708 • CWE-471: Modification of Assumed-Immutable Data (MAID) •