Plateforme
nodejs
Composant
object-path
Corrigé dans
0.11.6
0.11.5
CVE-2020-15256 est une vulnérabilité de pollution de prototype affectant la méthode set() dans object-path <= 0.11.4. Elle permet à un attaquant de modifier des propriétés d'objet inattendues, potentiellement conduisant à un comportement inattendu ou à une exécution de code. La vulnérabilité affecte les versions inférieures ou égales à 0.11.4. La version 0.11.5 corrige cette vulnérabilité.
Une vulnérabilité de pollution de prototype a été découverte dans object-path <= 0.11.4, affectant la méthode set(). Cette vulnérabilité est limitée au mode includeInheritedProps (si la version >= 0.11.0 est utilisée), qui doit être explicitement activé en créant une nouvelle instance de object-path et en définissant l'option includeInheritedProps: true, ou en utilisant l'instance par défaut withInheritedProps. Le mode d'opération par défaut n'est pas affecté par la vulnérabilité si la version >= 0.11.0 est utilisée. Un attaquant pourrait exploiter cette vulnérabilité pour modifier les propriétés des prototypes d'objets, ce qui pourrait entraîner un comportement inattendu ou même l'exécution de code malveillant si l'objet affecté est utilisé dans des opérations sensibles. La sévérité CVSS est de 7.7, ce qui indique un risque élevé.
L'exploitation de cette vulnérabilité nécessite un contrôle sur l'entrée fournie à la méthode set() en mode includeInheritedProps. Un attaquant pourrait injecter des données malveillantes qui modifient les prototypes d'objets, affectant potentiellement d'autres parties de l'application qui utilisent ces objets. La difficulté d'exploitation dépend de la capacité de l'attaquant à contrôler l'entrée et de la complexité de l'application. La vulnérabilité est plus critique dans les applications qui utilisent object-path pour manipuler des données sensibles ou qui s'exécutent dans des environnements privilégiés.
Statut de l'Exploit
EPSS
0.16% (percentile 37%)
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à jour la bibliothèque object-path à la version 0.11.5 ou supérieure. Si une mise à jour immédiate n'est pas possible, il est recommandé de désactiver le mode includeInheritedProps en évitant la création d'instances avec includeInheritedProps: true et en utilisant l'instance par défaut withInheritedProps uniquement si cela s'avère absolument nécessaire. Il est crucial d'examiner le code qui utilise object-path afin d'identifier et d'atténuer tout impact potentiel de la pollution de prototype. Des tests approfondis après l'application de toute mesure d'atténuation sont recommandés pour garantir le bon fonctionnement du système et la résolution de la vulnérabilité. La surveillance des journaux système peut aider à détecter les tentatives d'exploitation.
Actualice la biblioteca object-path a la versión 0.11.5 o superior. Si no puede actualizar, evite usar la opción `includeInheritedProps: true` o la instancia `withInheritedProps` en versiones mayores o iguales a 0.11.0. Si está utilizando una versión anterior a 0.11.0, la única solución es actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
La pollution de prototype se produit lorsque le prototype d'un objet est modifié, affectant toutes les instances de cet objet. Cela peut entraîner un comportement inattendu et des problèmes de sécurité.
Vérifiez la version de object-path dans votre projet. Si elle est inférieure ou égale à 0.11.4, vous utilisez une version vulnérable.
Si vous utilisez withInheritedProps, il est crucial de mettre à jour vers la version 0.11.5 ou supérieure. Si vous ne pouvez pas mettre à jour, envisagez de désactiver cette fonctionnalité.
Effectuez un audit de sécurité approfondi pour identifier tout dommage causé par la vulnérabilité. Mettez en œuvre des mesures de sécurité supplémentaires pour prévenir de futures attaques.
Consultez l'entrée CVE-2020-15256 dans les bases de données de vulnérabilités telles que le National Vulnerability Database (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.