Poluição de Protótipo em mariocasciaro/object-path
Plataforma
nodejs
Componente
object-path
Corrigido em
0.11.8
A vulnerabilidade CVE-2021-3805 afeta a biblioteca object-path em versões até 0.11.8. Esta falha de segurança, classificada como Prototype Pollution, permite que atacantes modifiquem indevidamente atributos do protótipo de objetos, potencialmente alterando o comportamento da aplicação. A atualização para a versão 0.11.8 corrige essa vulnerabilidade.
Impacto e Cenários de Ataque
A exploração bem-sucedida desta vulnerabilidade pode levar a uma ampla gama de impactos, dependendo de como a biblioteca object-path é utilizada na aplicação. Um atacante pode injetar propriedades maliciosas no protótipo de objetos, que serão herdadas por todos os objetos criados a partir desse protótipo. Isso pode resultar em comportamento inesperado, corrupção de dados, ou até mesmo execução remota de código, se a aplicação usar esses objetos modificados em operações críticas. A severidade da vulnerabilidade reside na sua capacidade de afetar a integridade e a segurança da aplicação de forma sorrateira e persistente.
Contexto de Exploração
A vulnerabilidade foi divulgada publicamente em 17 de setembro de 2021. Embora não haja relatos de exploração ativa em larga escala, a natureza sorrateira da Prototype Pollution a torna um alvo atraente para atacantes. A vulnerabilidade está listada no NVD (National Vulnerability Database) e a CISA (Cybersecurity and Infrastructure Security Agency) pode considerá-la para inclusão no KEV (Known Exploited Vulnerabilities) dependendo da sua prevalência e risco.
Quem Está em Riscotraduzindo…
Applications that utilize the object-path library, particularly those processing untrusted user input, are at risk. Node.js projects relying on object-path as a dependency are especially vulnerable. Projects using older versions of Node.js that may have outdated dependency management practices are also at increased risk.
Passos de Detecçãotraduzindo…
• nodejs:
npm list object-pathThis command will list installed versions of object-path. Check if the version is less than or equal to 0.11.8.
• nodejs:
npm audit object-pathThis command will check for known vulnerabilities in your project's dependencies, including CVE-2021-3805.
• generic web: Examine application logs for unusual object property modifications or errors related to object-path usage. Look for patterns indicating malicious path manipulation.
Linha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.65% (percentil 71%)
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Nenhum — sem impacto na confidencialidade.
- Integrity
- Nenhum — sem impacto na integridade.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária para CVE-2021-3805 é a atualização imediata para a versão 0.11.8 da biblioteca object-path. Se a atualização direta não for possível devido a incompatibilidades, considere a implementação de validação de entrada rigorosa para prevenir a injeção de propriedades maliciosas. Utilize um Web Application Firewall (WAF) com regras para detectar e bloquear tentativas de poluição de protótipos. Monitore logs de aplicação em busca de padrões de acesso incomuns ou modificações inesperadas de atributos de objetos.
Como corrigir
Atualize a dependência object-path para a versão 0.11.8 ou superior. Isso corrige a vulnerabilidade de Prototype Pollution. Execute `npm install object-path@latest` ou `yarn upgrade object-path` para atualizar.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentestraduzindo…
What is CVE-2021-3805 — Prototype Pollution in object-path?
CVE-2021-3805 is a Prototype Pollution vulnerability affecting versions of object-path up to 0.11.8. It allows attackers to modify object prototypes, potentially leading to application instability.
Am I affected by CVE-2021-3805 in object-path?
You are affected if your project uses object-path version 0.11.8 or earlier. Check your project dependencies using npm list object-path.
How do I fix CVE-2021-3805 in object-path?
Upgrade to version 0.11.8 or later of object-path. If upgrading is not possible immediately, implement input validation to prevent malicious path manipulation.
Is CVE-2021-3805 being actively exploited?
There is currently no evidence of active exploitation in the wild, but public proof-of-concept exploits exist.
Where can I find the official object-path advisory for CVE-2021-3805?
Refer to the object-path repository on GitHub for updates and advisories: https://github.com/substack/node-object-path
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.