发布日期：2022-05-01
更新日期：2022-06-13

受影响系统：

dexie dexie >= 4.0.0-alpha.1
dexie dexie < 4.0.0-alpha.3
dexie dexie < 3.2.2

描述：

---

CVE(CAN) ID: CVE-2022-21189

Dexie是indexedDB（浏览器中的标准数据库）的包装库，它提供了一个简洁的数据库API。
Dexie 3.2.2之前版本、4.0.0-alpha.1至4.0.0-alpha.3版本存在原型污染漏洞，该漏洞源于Dexie.setByKeyPath(obj, keyPath, value)函数未能正确检查设置的键数。攻击者可利用该漏洞增加或修改Object.prototype的属性。

<*来源：Alessio Della Libera (Snyk Security Team)
  *>

建议：

---

厂商补丁：

dexie
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/dexie/Dexie.js/commit/1d655a69b9f28c3af6fae10cf5c61df387dc689b

浏览次数：706
严重程度：0（网友投票）