Plateforme
nodejs
Composant
object-path
Corrigé dans
0.11.8
CVE-2021-3805 est une vulnérabilité de type 'Prototype Pollution' affectant la librairie object-path. Elle permet la modification non contrôlée des attributs du prototype d'objet. L'impact peut être significatif, allant de la modification du comportement de l'application à l'exécution de code arbitraire. Les versions d'object-path inférieures ou égales à 0.11.8 sont concernées. La version 0.11.8 corrige cette vulnérabilité.
La vulnérabilité CVE-2021-3805 dans la bibliothèque object-path (versions antérieures à 0.11.8) permet une attaque de 'pollution de prototype' (Prototype Pollution). Cela se produit lorsqu'un attaquant peut modifier les propriétés de l'objet Object.prototype, affectant ainsi tous les objets en JavaScript. Dans le contexte de object-path, cette vulnérabilité peut être exploitée si la bibliothèque traite des entrées utilisateur non validées. Un attaquant pourrait injecter des propriétés malveillantes dans le prototype, ce qui pourrait entraîner un comportement inattendu de l'application, permettant potentiellement l'exécution de code arbitraire ou un déni de service. La sévérité CVSS est de 7,5, ce qui indique un risque élevé. La nature de la pollution de prototype rend la détection et l'atténuation complexes, car l'impact peut être subtil et difficile à tracer.
L'exploitation de CVE-2021-3805 nécessite que la bibliothèque object-path traite des entrées contrôlées par l'attaquant. Cela peut se produire dans divers scénarios, tels que le traitement de données JSON reçues via une API, la lecture de fichiers de configuration fournis par l'utilisateur ou la manipulation de données dans une application web. L'attaquant doit être en mesure d'injecter une charge utile qui pollue le Object.prototype. La complexité de l'exploitation dépend de l'architecture de l'application et des mesures de sécurité existantes. L'absence de validation des entrées est le facteur clé qui permet l'exploitation de cette vulnérabilité. L'absence d'une KEV (Known Exploitation Vulnerability) ne signifie pas qu'elle ne peut pas être exploitée, mais simplement qu'il n'y a pas d'informations publiques disponibles sur une exploitation active.
Applications that utilize the object-path library, particularly those processing untrusted user input, are at risk. Node.js projects relying on object-path as a dependency are especially vulnerable. Projects using older versions of Node.js that may have outdated dependency management practices are also at increased risk.
• nodejs:
npm list object-pathThis command will list installed versions of object-path. Check if the version is less than or equal to 0.11.8.
• nodejs:
npm audit object-pathThis command will check for known vulnerabilities in your project's dependencies, including CVE-2021-3805.
• generic web: Examine application logs for unusual object property modifications or errors related to object-path usage. Look for patterns indicating malicious path manipulation.
disclosure
Statut de l'Exploit
EPSS
0.65% (percentile 71%)
Vecteur CVSS
L'atténuation principale pour CVE-2021-3805 consiste à mettre à jour la bibliothèque object-path à la version 0.11.8 ou supérieure. Cette version contient une correction qui empêche la pollution de prototype. De plus, il est recommandé de valider strictement toutes les données d'entrée utilisées avec object-path, en particulier celles provenant de sources non fiables. L'implémentation de listes blanches de propriétés autorisées et l'évitement de l'utilisation de fonctions qui peuvent modifier dynamiquement le prototype sont de bonnes pratiques. Si une mise à jour immédiate n'est pas possible, des mesures de sécurité supplémentaires peuvent être mises en œuvre, telles que l'utilisation d'un environnement isolé pour exécuter le code qui utilise object-path, bien que cela puisse affecter les performances.
Actualice la dependencia object-path a la versión 0.11.8 o superior. Esto corrige la vulnerabilidad de Prototype Pollution. Ejecute `npm install object-path@latest` o `yarn upgrade object-path` para actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une attaque qui modifie les propriétés de l'objet Object.prototype en JavaScript, affectant tous les objets. Cela peut entraîner un comportement inattendu et potentiellement permettre l'exécution de code.
Si votre application utilise object-path et traite des entrées non fiables, elle pourrait être vulnérable à la pollution de prototype, ce qui pourrait compromettre la sécurité de l'application.
Mettez en œuvre une validation stricte des données d'entrée et envisagez d'utiliser un environnement isolé pour exécuter le code qui utilise object-path.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais l'examen du code et les tests de sécurité peuvent aider à identifier les problèmes potentiels.
Vous pouvez trouver plus d'informations dans l'avis de sécurité npm et sur la page CVE dans la National Vulnerability Database (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.