Platform
nodejs
Component
protobufjs
Opgelost in
6.11.3
6.11.3
CVE-2022-25878 beschrijft een Prototype Pollution kwetsbaarheid in de protobufjs bibliotheek. Deze kwetsbaarheid stelt aanvallers in staat om eigenschappen aan het Object.prototype toe te voegen of te wijzigen, wat kan leiden tot onvoorspelbaar gedrag en potentieel misbruik van de applicatie. De kwetsbaarheid treft versies 6.10.0 tot en met 6.10.3 en 6.11.0 tot en met 6.11.3. Een fix is beschikbaar in versie 6.11.3.
Prototype Pollution is een gevaarlijke kwetsbaarheid omdat het de basis van JavaScript objecten kan beïnvloeden. Een succesvolle aanval kan leiden tot het overschrijven van ingebouwde objecten en functies, waardoor de applicatie onstabiel wordt of zelfs wordt overgenomen door de aanvaller. In de context van protobufjs, kan dit gebeuren door het verstrekken van onbetrouwbare gebruikersinvoer aan util.setProperty of ReflectionObject.setParsedOption functies, of door het parsen/laden van .proto bestanden. De impact kan variëren afhankelijk van hoe de protobufjs bibliotheek wordt gebruikt in de applicatie, maar de potentiële schade is aanzienlijk.
Deze kwetsbaarheid is opgenomen in het CISA KEV catalogus. Er zijn publieke proof-of-concept exploits beschikbaar, wat de kans op actieve uitbuiting verhoogt. De kwetsbaarheid is relatief eenvoudig te exploiteren, wat de risico's verder vergroot. Er zijn geen bekende actieve campagnes gerapporteerd, maar de beschikbaarheid van PoCs maakt het een aantrekkelijk doelwit voor aanvallers.
Applications built using Node.js that rely on the protobufjs library for data serialization and deserialization are at risk. This includes applications that process data from untrusted sources, such as user-uploaded files or external APIs, and those that parse .proto files without proper validation.
• nodejs / server:
npm list protobufjs• nodejs / server:
npm audit protobufjs• generic web: Inspect application logs for unusual object property modifications or errors related to protobuf parsing. Look for patterns of unexpected property names being added to objects.
disclosure
Exploit Status
EPSS
0.42% (62% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2022-25878 is het upgraden naar protobufjs versie 6.11.3 of hoger. Indien een upgrade direct niet mogelijk is, is het belangrijk om gebruikersinvoer die aan util.setProperty of ReflectionObject.setParsedOption wordt doorgegeven, te valideren en te sanitizen. Het is ook raadzaam om .proto bestanden alleen van vertrouwde bronnen te laden. WAF-regels kunnen worden ingesteld om verdachte patronen in de invoer te detecteren. Na de upgrade, controleer de applicatie grondig om te bevestigen dat de kwetsbaarheid is verholpen en er geen onverwachte bijwerkingen zijn.
Werk de protobufjs afhankelijkheid bij naar versie 6.11.3 of hoger. Dit corrigeert de Prototype Pollution kwetsbaarheid. Voer `npm install protobufjs@latest` of `yarn upgrade protobufjs` uit om bij te werken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2022-25878 is a Prototype Pollution vulnerability affecting protobufjs versions 6.10.0–6.10.3 and 6.11.0–6.11.3, allowing attackers to modify Object.prototype.
You are affected if your application uses protobufjs versions 6.10.0–6.10.3 or 6.11.0–6.11.3 and processes untrusted data or .proto files.
Upgrade to protobufjs version 6.11.3 or later. Implement input validation for user-provided data and sanitize .proto files.
There is currently no indication of active exploitation in the wild, but the vulnerability's nature makes exploitation possible.
Refer to the official protobufjs GitHub repository for updates and advisories: https://github.com/protobufjs/protobufjs
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.