Platform
nodejs
Component
object-path
Opgelost in
0.11.6
0.11.5
CVE-2020-15256 is een prototype pollution kwetsbaarheid in de set() methode van de object-path library. Deze kwetsbaarheid kan misbruikt worden om de applicatie te beïnvloeden. De kwetsbaarheid treft object-path versies <= 0.11.4, specifiek bij gebruik van de includeInheritedProps modus. Een upgrade naar versie 0.11.5 of hoger verhelpt dit probleem.
Er is een prototype pollution kwetsbaarheid gevonden in object-path <= 0.11.4 die de set() methode beïnvloedt. De kwetsbaarheid is beperkt tot de includeInheritedProps modus (als versie >= 0.11.0 wordt gebruikt), die expliciet moet worden ingeschakeld door een nieuwe instantie van object-path te maken en de optie includeInheritedProps: true in te stellen, of door de standaard withInheritedProps instantie te gebruiken. De standaard operationele modus wordt niet beïnvloed door de kwetsbaarheid als versie >= 0.11.0 wordt gebruikt. Een aanvaller kan deze kwetsbaarheid uitbuiten om eigenschappen op objectprototypen te wijzigen, wat kan leiden tot onverwacht gedrag of zelfs kwaadaardige code-uitvoering als het betreffende object in gevoelige operaties wordt gebruikt. De CVSS-severity is 7.7, wat een hoog risico aangeeft.
De exploitatie van deze kwetsbaarheid vereist controle over de input die aan de set() methode wordt verstrekt terwijl deze zich in de includeInheritedProps modus bevindt. Een aanvaller kan kwaadaardige gegevens injecteren die objectprototypen wijzigen, wat mogelijk andere delen van de applicatie beïnvloedt die deze objecten gebruiken. De moeilijkheidsgraad van de exploitatie hangt af van het vermogen van de aanvaller om de input te controleren en van de complexiteit van de applicatie. De kwetsbaarheid is kritischer in applicaties die object-path gebruiken om gevoelige gegevens te manipuleren of die in een omgeving met verhoogde privileges worden uitgevoerd.
Exploit Status
EPSS
0.16% (37% percentiel)
CVSS-vector
De oplossing voor deze kwetsbaarheid is om de object-path bibliotheek te updaten naar versie 0.11.5 of hoger. Indien een onmiddellijke update niet mogelijk is, wordt het aanbevolen om de includeInheritedProps modus uit te schakelen door te voorkomen dat instanties worden gemaakt met includeInheritedProps: true en de standaard withInheritedProps instantie alleen te gebruiken indien absoluut noodzakelijk. Het is cruciaal om de code te beoordelen die object-path gebruikt om potentiële prototype pollution impacten te identificeren en te mitigeren. Grondige tests na het toepassen van enige mitigatie worden aanbevolen om de functionaliteit van het systeem te waarborgen en de kwetsbaarheid op te lossen. Het monitoren van systeemlogs kan helpen bij het detecteren van exploitatiepogingen.
Actualice la biblioteca object-path a la versión 0.11.5 o superior. Si no puede actualizar, evite usar la opción `includeInheritedProps: true` o la instancia `withInheritedProps` en versiones mayores o iguales a 0.11.0. Si está utilizando una versión anterior a 0.11.0, la única solución es actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Prototype pollution treedt op wanneer het prototype van een object wordt gewijzigd, wat alle instanties van dat object beïnvloedt. Dit kan leiden tot onverwacht gedrag en beveiligingsproblemen.
Controleer de versie van object-path in uw project. Als deze kleiner of gelijk is aan 0.11.4, gebruikt u een kwetsbare versie.
Als u withInheritedProps gebruikt, is het cruciaal om te updaten naar versie 0.11.5 of hoger. Als u niet kunt updaten, overweeg dan om deze functionaliteit uit te schakelen.
Voer een grondige beveiligingsaudit uit om eventuele schade die door de kwetsbaarheid is veroorzaakt, te identificeren. Implementeer aanvullende beveiligingsmaatregelen om toekomstige aanvallen te voorkomen.
Raadpleeg de CVE-2020-15256-entry in vulnerability databases zoals de National Vulnerability Database (NVD).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.