Recientemente se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad con PoC pública que afecta a la librería npm JSON5 de JSON, que permitiría a un atacante realizar ejecución de código arbitrario y provocar denegación de servicio (DoS) en el sistema afectado.
Los productos afectados son:
JSON5, versiones anteriores a 2.2.2.
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2022/12/BOL-CERT-PY-2022-53-Vulnerabilidad-de-ejecucion-arbitraria-de-codigo-en-la-libreria-npm-JSON5.pdf
- https://securityonline.info/cve-2022-46175-json5-prototype-pollution-vulnerability/
- https://nvd.nist.gov/vuln/detail/CVE-2022-46175
- https://github.com/json5/json5/security/advisories/GHSA-9c47-m6qq-7p4h
- https://github.com/opensearch-project/OpenSearch-Dashboards/issues/3148
- https://github.com/json5/json5/releases/tag/v2.2.2