Katalog CVE

GHSA-442j-39wm-28r2

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W pliku `lib/handlebars/runtime.js` funkcja `container.lookup()` wykorzystuje `container.lookupProperty()` do weryfikacji dostępu do prototypu, jednak odrzuca zweryfikowany wynik i wykonuje drugą, niechronioną operację dostępu do właściwości (`depths[i][name]`).

Ocena ryzyka

Ta luka może prowadzić do nieautoryzowanego dostępu do właściwości prototypu, co może zagrażać integralności aplikacji i danych użytkowników.

Rekomendacja

Zaleca się aktualizację biblioteki Handlebars do najnowszej wersji, aby usunąć tę lukę oraz przeprowadzenie audytu kodu w celu zidentyfikowania potencjalnych miejsc narażonych na atak.

Oryginalny opis (angielski, źródło NVD)

## Summary In `lib/handlebars/runtime.js`, the `container.lookup()` function uses `container.lookupProperty()` as a gate check to enforce prototype-access controls, but then discards the validated result and performs a second, unguarded property access (`depths[i][name]`). This Time-of-Check Time-o

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS