0.11.8
CVE-2021-3805は、object-pathライブラリにおけるPrototype Pollution脆弱性です。この脆弱性を悪用されると、攻撃者はオブジェクトプロトタイプを汚染し、アプリケーションの動作に影響を与える可能性があります。影響を受けるバージョンは0.11.8以前であり、0.11.8へのアップデートで修正されています。
Prototype Pollutionは、オブジェクトのプロトタイプチェーンを改ざんすることで、予期せぬ動作を引き起こす攻撃手法です。CVE-2021-3805では、object-pathライブラリの脆弱性を利用して、攻撃者はプロトタイプを汚染し、アプリケーションの内部状態を操作したり、機密情報を漏洩させたりする可能性があります。特に、この脆弱性は、object-pathライブラリを依存関係として使用しているNode.jsアプリケーションに影響を与え、広範囲なシステムに影響を及ぼす可能性があります。攻撃者は、汚染されたプロトタイプを通じて、アプリケーションのロジックをバイパスしたり、権限昇格を試みたりする可能性があります。
CVE-2021-3805は、2021年9月17日に公開されました。現時点では、公的に利用可能なPoC(Proof of Concept)は確認されていませんが、Prototype Pollutionは広く知られた攻撃手法であり、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。この脆弱性は、Node.jsアプリケーションを対象としており、攻撃者はNode.jsの脆弱性を悪用して、システムへの侵入を試みる可能性があります。
Applications that utilize the object-path library, particularly those processing untrusted user input, are at risk. Node.js projects relying on object-path as a dependency are especially vulnerable. Projects using older versions of Node.js that may have outdated dependency management practices are also at increased risk.
• nodejs:
npm list object-pathThis command will list installed versions of object-path. Check if the version is less than or equal to 0.11.8.
• nodejs:
npm audit object-pathThis command will check for known vulnerabilities in your project's dependencies, including CVE-2021-3805.
• generic web: Examine application logs for unusual object property modifications or errors related to object-path usage. Look for patterns indicating malicious path manipulation.
disclosure
エクスプロイト状況
EPSS
0.65% (71% パーセンタイル)
CVSS ベクトル
CVE-2021-3805の主な対策は、object-pathライブラリをバージョン0.11.8以降にアップデートすることです。アップデートが困難な場合は、入力データの検証を強化し、信頼できないソースからのデータを処理する際に、オブジェクトプロトタイプへのアクセスを制限するなどの回避策を検討してください。また、WAF(Web Application Firewall)を導入し、Prototype Pollution攻撃を検知・防御することも有効です。アップデート後、アプリケーションの動作を十分にテストし、意図しない動作が発生しないことを確認してください。
object-pathの依存関係をバージョン0.11.8以降にアップデートしてください。これにより、Prototype Pollutionの脆弱性が修正されます。`npm install object-path@latest`または`yarn upgrade object-path`を実行してアップデートしてください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2021-3805は、object-pathライブラリのバージョン0.11.8以前におけるオブジェクトプロトタイプ属性の不適切な制御(Prototype Pollution)脆弱性です。攻撃者はこの脆弱性を悪用して、オブジェクトプロトタイプを汚染し、アプリケーションの動作に影響を与える可能性があります。
object-pathライブラリのバージョン0.11.8以前を使用しているNode.jsアプリケーションは、この脆弱性の影響を受ける可能性があります。バージョンを確認し、必要に応じてアップデートしてください。
object-pathライブラリをバージョン0.11.8以降にアップデートすることで、この脆弱性を修正できます。アップデートが困難な場合は、入力データの検証を強化するなどの回避策を検討してください。
現時点では、公的に利用可能なPoCは確認されていませんが、Prototype Pollutionは広く知られた攻撃手法であり、悪用される可能性は否定できません。
object-pathの公式アドバイザリは、GitHubリポジトリで確認できます。https://github.com/unshift-labs/object-path/security/advisories/GHSA-5g94-p54p-339x