Platform
nodejs
Component
object-path
Opgelost in
0.11.8
CVE-2021-3805 is een Prototype Pollution kwetsbaarheid in de object-path bibliotheek. Deze kwetsbaarheid maakt het mogelijk om ongecontroleerd object prototype attributen te wijzigen, wat kan leiden tot onvoorspelbaar gedrag of zelfs code-injectie. De kwetsbaarheid treft object-path versies ≤0.11.8. Een fix is beschikbaar in versie 0.11.8.
CVE-2021-3805 in de object-path bibliotheek (versies vóór 0.11.8) maakt een 'Prototype Pollution' aanval mogelijk. Dit gebeurt wanneer een aanvaller eigenschappen van het Object.prototype object kan wijzigen, wat invloed heeft op alle objecten in JavaScript. In de context van object-path kan deze kwetsbaarheid worden uitgebuit als de bibliotheek gebruikersgestuurde invoer zonder goede validatie verwerkt. Een aanvaller kan kwaadaardige eigenschappen in het prototype injecteren, wat kan leiden tot onverwacht gedrag van de applicatie en potentieel de uitvoering van willekeurige code of een denial-of-service aanval mogelijk maakt. De CVSS-severity is 7.5, wat een hoog risico aangeeft. De aard van prototype pollution maakt detectie en mitigatie complex, omdat de impact subtiel kan zijn en moeilijk te traceren.
Het exploiteren van CVE-2021-3805 vereist dat de object-path bibliotheek invoer verwerkt die door de aanvaller wordt gecontroleerd. Dit kan in verschillende scenario's gebeuren, zoals het verwerken van JSON-gegevens die via een API worden ontvangen, het lezen van configuratiebestanden die door de gebruiker worden verstrekt, of het manipuleren van gegevens in een webapplicatie. De aanvaller moet in staat zijn om een payload te injecteren die het Object.prototype vervuilt. De complexiteit van de exploitatie hangt af van de applicatiearchitectuur en de bestaande beveiligingsmaatregelen. Het ontbreken van invoervalidatie is de belangrijkste factor die de exploitatie van deze kwetsbaarheid mogelijk maakt. Het ontbreken van een KEV (Known Exploitation Vulnerability) betekent niet dat het niet kan worden uitgebuit, maar slechts dat er geen publieke informatie beschikbaar is over actieve exploitatie.
Applications that utilize the object-path library, particularly those processing untrusted user input, are at risk. Node.js projects relying on object-path as a dependency are especially vulnerable. Projects using older versions of Node.js that may have outdated dependency management practices are also at increased risk.
• nodejs:
npm list object-pathThis command will list installed versions of object-path. Check if the version is less than or equal to 0.11.8.
• nodejs:
npm audit object-pathThis command will check for known vulnerabilities in your project's dependencies, including CVE-2021-3805.
• generic web: Examine application logs for unusual object property modifications or errors related to object-path usage. Look for patterns indicating malicious path manipulation.
disclosure
Exploit Status
EPSS
0.65% (71% percentiel)
CVSS-vector
De belangrijkste mitigatie voor CVE-2021-3805 is het updaten van de object-path bibliotheek naar versie 0.11.8 of hoger. Deze versie bevat een fix die prototype pollution voorkomt. Daarnaast wordt aanbevolen om alle invoergegevens die met object-path worden gebruikt, strikt te valideren, met name gegevens afkomstig van onbetrouwbare bronnen. Het implementeren van whitelists van toegestane eigenschappen en het vermijden van het gebruik van functies die het prototype dynamisch kunnen wijzigen, zijn goede praktijken. Als een onmiddellijke update niet mogelijk is, kunnen aanvullende beveiligingsmaatregelen worden geïmplementeerd, zoals het gebruik van een geïsoleerde omgeving om de code uit te voeren die object-path gebruikt, hoewel dit de prestaties kan beïnvloeden.
Actualice la dependencia object-path a la versión 0.11.8 o superior. Esto corrige la vulnerabilidad de Prototype Pollution. Ejecute `npm install object-path@latest` o `yarn upgrade object-path` para actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een aanval die eigenschappen van het Object.prototype object in JavaScript wijzigt, wat invloed heeft op alle objecten. Dit kan leiden tot onverwacht gedrag en potentieel de uitvoering van code mogelijk maken.
Als uw applicatie object-path gebruikt en onbetrouwbare invoer verwerkt, kan deze kwetsbaar zijn voor prototype pollution, wat de veiligheid van de applicatie kan compromitteren.
Implementeer strikte validatie van de invoergegevens en overweeg het gebruik van een geïsoleerde omgeving om de code uit te voeren die object-path gebruikt.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar code review en beveiligingstests kunnen helpen bij het identificeren van potentiële problemen.
U kunt meer informatie vinden in de npm beveiligingsadvies en op de CVE-pagina in de National Vulnerability Database (NVD).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.