प्लेटफ़ॉर्म
nodejs
घटक
object-path
में ठीक किया गया
0.11.6
0.11.5
CVE-2020-15256, object-path में पाई गई एक प्रोटोटाइप प्रदूषण भेद्यता है जो set() विधि को प्रभावित करती है। इस भेद्यता का फायदा उठाकर, हमलावर अनपेक्षित गुणों को ऑब्जेक्ट प्रोटोटाइप में इंजेक्ट कर सकते हैं, जिससे संभावित रूप से एप्लिकेशन व्यवहार में बदलाव हो सकता है। यह भेद्यता object-path के <= 0.11.4 संस्करणों को प्रभावित करती है। संस्करण 0.11.5 में एक पैच जारी किया गया है।
object-path के संस्करण 0.11.4 से कम या उसके बराबर में, set() विधि में एक प्रोटोटाइप प्रदूषण भेद्यता पाई गई है। यह भेद्यता केवल includeInheritedProps मोड (यदि संस्करण >= 0.11.0 का उपयोग किया जा रहा है) में ही होती है, जिसे object-path का एक नया उदाहरण बनाकर और includeInheritedProps: true विकल्प सेट करके, या डिफ़ॉल्ट withInheritedProps उदाहरण का उपयोग करके स्पष्ट रूप से सक्षम करने की आवश्यकता होती है। यदि संस्करण >= 0.11.0 का उपयोग किया जा रहा है, तो डिफ़ॉल्ट ऑपरेशन मोड इस भेद्यता से प्रभावित नहीं होता है। एक हमलावर इस भेद्यता का उपयोग ऑब्जेक्ट प्रोटोटाइप पर गुणों को संशोधित करने के लिए कर सकता है, जिससे अप्रत्याशित व्यवहार या दुर्भावनापूर्ण कोड निष्पादन हो सकता है, खासकर जब प्रभावित ऑब्जेक्ट का उपयोग संवेदनशील संचालन में किया जाता है। CVSS गंभीरता रेटिंग 7.7 है, जो उच्च जोखिम का संकेत देती है।
इस भेद्यता का शोषण करने के लिए, includeInheritedProps मोड में set() विधि को प्रदान किए गए इनपुट पर नियंत्रण की आवश्यकता होती है। एक हमलावर दुर्भावनापूर्ण डेटा इंजेक्ट कर सकता है, जो ऑब्जेक्ट प्रोटोटाइप को संशोधित करता है, जिससे ऑब्जेक्ट का उपयोग करने वाले एप्लिकेशन के अन्य भागों को प्रभावित कर सकता है। शोषण की कठिनाई हमलावर की इनपुट को नियंत्रित करने की क्षमता और एप्लिकेशन की जटिलता पर निर्भर करती है। संवेदनशील डेटा को हेरफेर करने के लिए object-path का उपयोग करने वाले या उन्नत विशेषाधिकार वाले वातावरण में चलने वाले अनुप्रयोगों में यह भेद्यता अधिक जोखिम भरा है।
एक्सप्लॉइट स्थिति
EPSS
0.16% (37% शतमक)
CVSS वेक्टर
इस भेद्यता के लिए समाधान object-path लाइब्रेरी को संस्करण 0.11.5 या उससे अधिक में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो includeInheritedProps मोड को अक्षम करने की अनुशंसा की जाती है, जिससे includeInheritedProps: true विकल्प के साथ उदाहरण बनाना और केवल तभी डिफ़ॉल्ट withInheritedProps उदाहरण का उपयोग करना बंद कर दिया जाए जब यह बिल्कुल आवश्यक हो। object-path का उपयोग करने वाले कोड की समीक्षा करके किसी भी संभावित प्रोटोटाइप प्रदूषण प्रभाव की पहचान करना और उन्हें कम करना महत्वपूर्ण है। किसी भी शमन उपाय लागू करने के बाद, सिस्टम की कार्यक्षमता सुनिश्चित करने और भेद्यता को हल करने के लिए पूरी तरह से परीक्षण करना उचित है। सिस्टम लॉग की निगरानी से शोषण प्रयासों का पता लगाने में मदद मिल सकती है।
Actualice la biblioteca object-path a la versión 0.11.5 o superior. Si no puede actualizar, evite usar la opción `includeInheritedProps: true` o la instancia `withInheritedProps` en versiones mayores o iguales a 0.11.0. Si está utilizando una versión anterior a 0.11.0, la única solución es actualizar.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
प्रोटोटाइप प्रदूषण तब होता है जब किसी ऑब्जेक्ट का प्रोटोटाइप संशोधित किया जाता है, जिससे उस ऑब्जेक्ट के सभी उदाहरण प्रभावित होते हैं। इससे अप्रत्याशित व्यवहार और सुरक्षा समस्याएं हो सकती हैं।
अपने प्रोजेक्ट में object-path का संस्करण जांचें। यदि संस्करण 0.11.4 से कम या उसके बराबर है, तो आप एक कमजोर संस्करण का उपयोग कर रहे हैं।
यदि आप withInheritedProps का उपयोग कर रहे हैं, तो संस्करण 0.11.5 या उससे अधिक में अपडेट करना महत्वपूर्ण है। यदि आप अपडेट नहीं कर सकते हैं, तो इस सुविधा को अक्षम करने पर विचार करें।
भेद्यता के कारण होने वाले किसी भी नुकसान की पहचान करने के लिए एक व्यापक सुरक्षा ऑडिट करें। भविष्य के हमलों को रोकने के लिए अतिरिक्त सुरक्षा उपाय लागू करें।
राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस में CVE-2020-15256 प्रविष्टि देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।