प्लेटफ़ॉर्म
nodejs
घटक
json-schema
में ठीक किया गया
0.3.1
0.4.0
CVE-2021-3918, json-schema लाइब्रेरी में एक प्रोटोटाइप प्रदूषण भेद्यता है। इसका मतलब है कि हमलावर ऑब्जेक्ट प्रोटोटाइप विशेषताओं को अनधिकृत रूप से संशोधित कर सकते हैं, जिससे अप्रत्याशित व्यवहार या सुरक्षा जोखिम हो सकते हैं। यह भेद्यता 0.4.0 से पहले के json-schema संस्करणों को प्रभावित करती है। संस्करण 0.4.0 में इस समस्या को ठीक कर दिया गया है।
CVE-2021-3918 kriszyp/json-schema लाइब्रेरी के 0.4.0 से पहले के संस्करणों में, यह एप्लिकेशन को 'प्रोटोटाइप प्रदूषण' (Prototype Pollution) हमलों के संपर्क में लाता है। यह भेद्यता एक हमलावर को JavaScript में सभी ऑब्जेक्ट उदाहरणों को प्रभावित करने की क्षमता वाले Object.prototype ऑब्जेक्ट के गुणों को संशोधित करने की अनुमति देती है। इससे अप्रत्याशित व्यवहार, एप्लिकेशन त्रुटियां या महत्वपूर्ण एप्लिकेशन तर्क में इन दूषित गुणों का उपयोग किए जाने पर दुर्भावनापूर्ण कोड निष्पादन हो सकता है। CVSS स्कोर 9.8 है, जो एक गंभीर जोखिम का संकेत देता है, जिसका अर्थ है अपेक्षाकृत आसान शोषण और संभावित विनाशकारी प्रभाव। यह भेद्यता लाइब्रेरी द्वारा JSON स्कीमा को संसाधित करने के तरीके से उत्पन्न होती है जो प्रोटोटाइप गुणों के संशोधन की अनुमति देते हैं। इस जोखिम को कम करने के लिए संस्करण 0.4.0 या उच्चतर में अपग्रेड करना महत्वपूर्ण है।
इस भेद्यता का उपयोग kriszyp/json-schema लाइब्रेरी को दुर्भावनापूर्ण JSON स्कीमा भेजकर शोषण किया जा सकता है। इन स्कीमा को Object.prototype ऑब्जेक्ट के गुणों को संशोधित करने के लिए डिज़ाइन किया गया है। हमलावर को लाइब्रेरी को पारित JSON इनपुट पर नियंत्रण रखना होगा। बाहरी API या उपयोगकर्ता इनपुट जैसे अविश्वसनीय स्रोतों से JSON डेटा को संसाधित करने वाले अनुप्रयोगों में शोषण अधिक संभावित है। शोषण की जटिलता एप्लिकेशन के कॉन्फ़िगरेशन और लागू किए गए सत्यापन पर निर्भर करती है। JSON इनपुट सत्यापन की कमी शोषण को सुविधाजनक बनाने वाला एक प्रमुख कारक है। प्रोटोटाइप प्रदूषण की सूक्ष्म प्रकृति शोषण का पता लगाना मुश्किल बनाती है, जिससे जोखिम बढ़ जाता है।
एक्सप्लॉइट स्थिति
EPSS
1.26% (79% शतमक)
CVSS वेक्टर
CVE-2021-3918 के लिए सबसे प्रभावी शमन kriszyp/json-schema लाइब्रेरी को संस्करण 0.4.0 या उच्चतर में अपडेट करना है। इस संस्करण में प्रोटोटाइप प्रदूषण को रोकने के लिए एक फिक्स शामिल है। यदि तत्काल अपडेट संभव नहीं है, तो इस लाइब्रेरी का उपयोग करने वाले कोड की सावधानीपूर्वक समीक्षा करें और प्रोटोटाइप प्रदूषण के प्रति संवेदनशील पैटर्न की तलाश करें। JSON इनपुट पर अतिरिक्त सत्यापन लागू करने से जोखिम को कम करने में मदद मिल सकती है, लेकिन यह पूर्ण समाधान नहीं है। एप्लिकेशन लॉग की निगरानी करके ऑब्जेक्ट हेरफेर से संबंधित असामान्य व्यवहार का पता लगाने और संभावित हमलों का जवाब देने में भी मदद मिल सकती है। संभावित कमजोरियों की पहचान करने के लिए प्रवेश परीक्षण की सिफारिश की जाती है।
Actualice la biblioteca json-schema a una versión posterior a 0.3.0. Esto solucionará la vulnerabilidad de Prototype Pollution. Puede actualizar la dependencia utilizando npm o yarn.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
प्रोटोटाइप प्रदूषण एक ऐसा हमला है जो हमलावर को JavaScript में सभी ऑब्जेक्ट उदाहरणों को प्रभावित करने वाले Object.prototype ऑब्जेक्ट के गुणों को संशोधित करने की अनुमति देता है।
यदि आप 0.4.0 से पहले के kriszyp/json-schema का उपयोग कर रहे हैं, तो आपका एप्लिकेशन कमजोर है। लाइब्रेरी का उपयोग कहां किया जा रहा है और आप अविश्वसनीय स्रोतों से JSON डेटा को संसाधित कर रहे हैं या नहीं, यह निर्धारित करने के लिए अपने कोड की समीक्षा करें।
JSON इनपुट पर अतिरिक्त सत्यापन लागू करने से जोखिम को कम करने में मदद मिल सकती है, लेकिन यह पूर्ण समाधान नहीं है। एप्लिकेशन लॉग की निगरानी करना भी महत्वपूर्ण है।
proto , constructor या कस्टम गुणों जैसे Object.prototype ऑब्जेक्ट के गुणों को संशोधित करने का प्रयास करने वाले JSON स्कीमा।
आप NIST भेद्यता डेटाबेस में अधिक जानकारी पा सकते हैं: https://nvd.nist.gov/vuln/detail/CVE-2021-3918
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।