प्लेटफ़ॉर्म
nodejs
घटक
object-path
में ठीक किया गया
0.11.8
CVE-2021-3805, object-path लाइब्रेरी में एक प्रोटोटाइप प्रदूषण भेद्यता है। यह हमलावर को ऑब्जेक्ट प्रोटोटाइप के गुणों को बदलने की अनुमति देता है, जिससे संभावित रूप से मनमाना कोड निष्पादन हो सकता है। यह भेद्यता 0.11.8 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 0.11.8 में इस समस्या को ठीक कर दिया गया है।
CVE-2021-3805 object-path लाइब्रेरी (0.11.8 से पहले के संस्करण) में 'प्रोटोटाइप प्रदूषण' (Prototype Pollution) हमले को सक्षम करता है। यह तब होता है जब एक हमलावर Object.prototype ऑब्जेक्ट के गुणों को संशोधित कर सकता है, जिससे जावास्क्रिप्ट में सभी ऑब्जेक्ट प्रभावित होते हैं। object-path के संदर्भ में, यदि लाइब्रेरी उचित सत्यापन के बिना उपयोगकर्ता-नियंत्रित इनपुट को संसाधित करती है, तो इस भेद्यता का शोषण किया जा सकता है। एक हमलावर प्रोटोटाइप में दुर्भावनापूर्ण गुणों को इंजेक्ट कर सकता है, जिससे एप्लिकेशन में अप्रत्याशित व्यवहार हो सकता है, और संभावित रूप से मनमाना कोड निष्पादन या सेवा से इनकार हमले को सक्षम कर सकता है। CVSS गंभीरता रेटिंग 7.5 है, जो उच्च जोखिम का संकेत देती है। प्रोटोटाइप प्रदूषण की प्रकृति का मतलब है कि पहचान और शमन जटिल है, क्योंकि प्रभाव सूक्ष्म हो सकता है और उसका पता लगाना मुश्किल हो सकता है।
CVE-2021-3805 का शोषण करने के लिए, object-path लाइब्रेरी को हमलावर द्वारा नियंत्रित इनपुट को संसाधित करने की आवश्यकता होती है। यह विभिन्न परिदृश्यों में हो सकता है, जैसे कि API के माध्यम से प्राप्त JSON डेटा को संसाधित करना, उपयोगकर्ता द्वारा प्रदान की गई कॉन्फ़िगरेशन फ़ाइलों को पढ़ना, या वेब एप्लिकेशन में डेटा में हेरफेर करना। हमलावर को Object.prototype को दूषित करने वाले पेलोड को इंजेक्ट करने में सक्षम होना चाहिए। शोषण की जटिलता एप्लिकेशन आर्किटेक्चर और मौजूदा सुरक्षा उपायों पर निर्भर करती है। इनपुट सत्यापन की कमी इस भेद्यता के शोषण को सक्षम करने वाला प्रमुख कारक है। KEV (ज्ञात शोषण भेद्यता) की अनुपस्थिति का मतलब यह नहीं है कि इसका शोषण नहीं किया जा सकता है, बल्कि इसका मतलब है कि सक्रिय शोषण के बारे में कोई सार्वजनिक जानकारी नहीं है।
Applications that utilize the object-path library, particularly those processing untrusted user input, are at risk. Node.js projects relying on object-path as a dependency are especially vulnerable. Projects using older versions of Node.js that may have outdated dependency management practices are also at increased risk.
• nodejs:
npm list object-pathThis command will list installed versions of object-path. Check if the version is less than or equal to 0.11.8.
• nodejs:
npm audit object-pathThis command will check for known vulnerabilities in your project's dependencies, including CVE-2021-3805.
• generic web: Examine application logs for unusual object property modifications or errors related to object-path usage. Look for patterns indicating malicious path manipulation.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.65% (71% शतमक)
CVSS वेक्टर
CVE-2021-3805 के लिए प्राथमिक शमन object-path लाइब्रेरी को संस्करण 0.11.8 या उससे ऊपर के संस्करण में अपडेट करना है। इस संस्करण में प्रोटोटाइप प्रदूषण को रोकने के लिए एक फिक्स शामिल है। इसके अतिरिक्त, object-path के साथ उपयोग किए जाने वाले सभी इनपुट डेटा को सख्ती से मान्य करने की सिफारिश की जाती है, खासकर अविश्वसनीय स्रोतों से आने वाले डेटा को। अनुमत गुणों की अनुमति सूची को लागू करना और प्रोटोटाइप को गतिशील रूप से संशोधित करने वाले कार्यों के उपयोग से बचना अच्छी प्रथाएं हैं। यदि तत्काल अपडेट संभव नहीं है, तो अतिरिक्त सुरक्षा उपायों के रूप में, object-path का उपयोग करने वाले कोड को एक अलग वातावरण में चलाने पर विचार किया जा सकता है, हालांकि इससे प्रदर्शन प्रभावित हो सकता है।
Actualice la dependencia object-path a la versión 0.11.8 o superior. Esto corrige la vulnerabilidad de Prototype Pollution. Ejecute `npm install object-path@latest` o `yarn upgrade object-path` para actualizar.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह जावास्क्रिप्ट में Object.prototype ऑब्जेक्ट के गुणों को संशोधित करने वाला एक हमला है, जिससे सभी ऑब्जेक्ट प्रभावित होते हैं। इससे अप्रत्याशित व्यवहार हो सकता है और कोड निष्पादन की अनुमति मिल सकती है।
यदि आपका एप्लिकेशन object-path का उपयोग करता है और अविश्वसनीय इनपुट को संसाधित करता है, तो यह प्रोटोटाइप प्रदूषण के प्रति संवेदनशील हो सकता है, जिससे आपके एप्लिकेशन की सुरक्षा से समझौता हो सकता है।
इनपुट डेटा को सख्ती से मान्य करें और object-path का उपयोग करने वाले कोड को अलग वातावरण में चलाने पर विचार करें।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन कोड समीक्षा और सुरक्षा परीक्षण संभावित मुद्दों की पहचान करने में मदद कर सकते हैं।
आप npm सुरक्षा सलाहकार और राष्ट्रीय भेद्यता डेटाबेस (NVD) पर CVE पेज पर अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।