प्लेटफ़ॉर्म
nodejs
घटक
protobufjs
में ठीक किया गया
6.11.3
6.11.3
CVE-2022-25878, protobufjs पैकेज में एक प्रोटोटाइप प्रदूषण भेद्यता है। यह भेद्यता हमलावर को Object.prototype के गुणों को जोड़ने या संशोधित करने की अनुमति दे सकती है। यह util.setProperty या ReflectionObject.setParsedOption फ़ंक्शन में अविश्वसनीय उपयोगकर्ता इनपुट प्रदान करके या .proto फ़ाइलों को पार्स/लोड करके हो सकता है। यह भेद्यता संस्करण 6.10.0 से 6.10.3 और 6.11.0 से 6.11.3 को प्रभावित करती है। संस्करण 6.11.3 में इस समस्या को ठीक कर दिया गया है।
protobufjs में CVE-2022-25878 एक प्रोटोटाइप प्रदूषण जोखिम का प्रतिनिधित्व करता है। इसका मतलब है कि एक हमलावर Object.prototype पर गुण इंजेक्ट या संशोधित कर सकता है, जिससे संभावित रूप से सभी JavaScript कोड प्रभावित हो सकते हैं जो protobufjs का उपयोग करते हैं। प्रभावित संस्करण 6.10.0 से 6.10.3 और 6.11.0 से 6.11.3 सहित हैं। प्रोटोटाइप प्रदूषण अप्रत्याशित व्यवहार, रनटाइम त्रुटियों या यहां तक कि दुर्भावनापूर्ण कोड के निष्पादन का कारण बन सकता है यदि इसे सफलतापूर्वक शोषण किया जाता है। यह भेद्यता मुख्य रूप से दो तरीकों से प्रकट होती है: util.setProperty या ReflectionObject.setParsedOption फ़ंक्शन के लिए अविश्वसनीय उपयोगकर्ता इनपुट का हेरफेर, और दुर्भावनापूर्ण .proto फ़ाइलों को लोड करना/पार्स करना। CVSS गंभीरता 7.5 है, जो उच्च जोखिम का संकेत देती है।
एक हमलावर protobufjs का उपयोग करने वाले एप्लिकेशन को दुर्भावनापूर्ण इनपुट भेजकर इस भेद्यता का शोषण कर सकता है। इनपुट को Object प्रोटोटाइप को दूषित करने और उसके व्यवहार को संशोधित करने के लिए डिज़ाइन किया जा सकता है। उदाहरण के लिए, एक हमलावर Object प्रोटोटाइप पर एक नया गुण जोड़ सकता है जो एक मौजूदा फ़ंक्शन को अधिलेखित कर देता है, जिससे मनमाना कोड निष्पादन सक्षम हो सकता है। API या उपयोगकर्ता द्वारा अपलोड की गई फ़ाइलों जैसे बाहरी स्रोतों से protobuf डेटा को संसाधित करने वाले अनुप्रयोगों में शोषण की संभावना अधिक होती है। शोषण की जटिलता एप्लिकेशन के आर्किटेक्चर और लागू सुरक्षा उपायों के आधार पर भिन्न हो सकती है।
Applications built using Node.js that rely on the protobufjs library for data serialization and deserialization are at risk. This includes applications that process data from untrusted sources, such as user-uploaded files or external APIs, and those that parse .proto files without proper validation.
• nodejs / server:
npm list protobufjs• nodejs / server:
npm audit protobufjs• generic web: Inspect application logs for unusual object property modifications or errors related to protobuf parsing. Look for patterns of unexpected property names being added to objects.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.42% (62% शतमक)
CVSS वेक्टर
अनुशंसित समाधान protobufjs को संस्करण 6.11.4 या उच्चतर में अपग्रेड करना है। यह संस्करण प्रोटोटाइप प्रदूषण भेद्यता को पैच करता है। यदि तत्काल अपग्रेड संभव नहीं है, तो शमन उपायों को लागू करें, जैसे कि util.setProperty और ReflectionObject.setParsedOption फ़ंक्शन में उपयोग किए जाने वाले सभी उपयोगकर्ता इनपुट का सख्त सत्यापन और सफाई। इसके अतिरिक्त, अविश्वसनीय स्रोतों से .proto फ़ाइलों को लोड या पार्स करते समय सावधानी बरतें। सभी पुस्तकालयों को अद्यतित रखने के लिए परियोजना निर्भरताएँ जाँचें ताकि कैस्केडिंग भेद्यताओं से बचा जा सके। एप्लिकेशन लॉग में असामान्य व्यवहार की निगरानी भी संभावित शोषण प्रयासों का पता लगाने में मदद कर सकती है।
Actualice la dependencia protobufjs a la versión 6.11.3 o superior. Esto corrige la vulnerabilidad de Prototype Pollution. Ejecute `npm install protobufjs@latest` o `yarn upgrade protobufjs` para actualizar.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक भेद्यता है जो JavaScript ऑब्जेक्ट के प्रोटोटाइप को संशोधित करने की अनुमति देती है, जिससे एप्लिकेशन में सभी ऑब्जेक्ट उदाहरण प्रभावित होते हैं।
इस संस्करण में CVE-2022-25878 के लिए फ़िक्स शामिल है, जो प्रोटोटाइप प्रदूषण के जोखिम को समाप्त करता है।
इनपुट सत्यापन और सफाई को लागू करें, अविश्वसनीय स्रोतों से .proto फ़ाइलों के प्रति सावधान रहें और लॉग की निगरानी करें।
आप जिस protobufjs संस्करण का उपयोग कर रहे हैं, उसकी जांच करें। यदि यह 6.10.0 से 6.10.3 या 6.11.0 से 6.11.3 के बीच है, तो यह कमजोर है।
स्थैतिक और गतिशील विश्लेषण उपकरण कोड में प्रोटोटाइप प्रदूषण भेद्यताओं की पहचान करने में मदद कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।