Plataforma
nodejs
Componente
protobufjs
Corrigido em
6.11.3
6.11.3
CVE-2022-25878 é uma vulnerabilidade de Prototype Pollution no pacote protobufjs. Essa falha permite que um atacante adicione ou modifique propriedades do Object.prototype, potencialmente comprometendo a aplicação. As versões afetadas são as anteriores a 6.10.3 e 6.11.3. A vulnerabilidade foi corrigida na versão 6.11.3.
A vulnerabilidade CVE-2022-25878 no protobufjs representa um risco de Poluição de Protótipos. Isso significa que um atacante pode injetar ou modificar propriedades no Object.prototype, impactando potencialmente todo o código JavaScript que utiliza protobufjs. As versões afetadas são aquelas que incluem a 6.10.0 até a 6.10.3 e a 6.11.0 até a 6.11.3. A poluição do protótipo pode levar a comportamentos inesperados, erros de tempo de execução ou até mesmo execução de código malicioso se explorada com sucesso. A vulnerabilidade se manifesta principalmente através de duas vias: a manipulação de entradas de usuário não confiáveis nas funções util.setProperty ou ReflectionObject.setParsedOption, e o carregamento/análise de arquivos .proto maliciosos. A severidade CVSS é 7.5, indicando um risco alto.
Um atacante pode explorar esta vulnerabilidade enviando entradas maliciosas para uma aplicação que utiliza protobufjs. Essas entradas podem ser projetadas para poluir o protótipo Object e modificar seu comportamento. Por exemplo, um atacante pode adicionar uma nova propriedade ao protótipo Object que sobrescreve uma função existente, o que pode permitir a execução de código arbitrário. A exploração é mais provável em aplicações que processam dados protobuf de fontes externas, como APIs ou arquivos enviados pelo usuário. A complexidade da exploração pode variar dependendo da arquitetura da aplicação e das medidas de segurança implementadas.
Applications built using Node.js that rely on the protobufjs library for data serialization and deserialization are at risk. This includes applications that process data from untrusted sources, such as user-uploaded files or external APIs, and those that parse .proto files without proper validation.
• nodejs / server:
npm list protobufjs• nodejs / server:
npm audit protobufjs• generic web: Inspect application logs for unusual object property modifications or errors related to protobuf parsing. Look for patterns of unexpected property names being added to objects.
disclosure
Status do Exploit
EPSS
0.42% (percentil 62%)
Vetor CVSS
A solução recomendada é atualizar o protobufjs para a versão 6.11.4 ou superior. Esta versão corrige a vulnerabilidade de poluição de protótipos. Se uma atualização imediata não for possível, implemente medidas de mitigação, como a validação e sanitização rigorosas de todas as entradas de usuário usadas nas funções util.setProperty e ReflectionObject.setParsedOption. Além disso, tome cuidado ao carregar ou analisar arquivos .proto de fontes não confiáveis. Revise as dependências do projeto para garantir que todas as bibliotecas estejam atualizadas para evitar vulnerabilidades em cascata. Monitorar os logs da aplicação em busca de comportamentos anômalos também pode ajudar a detectar tentativas de exploração.
Actualice la dependencia protobufjs a la versión 6.11.3 o superior. Esto corrige la vulnerabilidad de Prototype Pollution. Ejecute `npm install protobufjs@latest` o `yarn upgrade protobufjs` para actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade que permite a modificação do protótipo dos objetos JavaScript, afetando todas as instâncias de objetos na aplicação.
Esta versão contém a correção para CVE-2022-25878, eliminando o risco de poluição de protótipos.
Implemente validação e sanitização de entrada, seja cauteloso com arquivos .proto de fontes não confiáveis e monitore os logs.
Verifique a versão do protobufjs que você está usando. Se for entre 6.10.0 e 6.10.3 ou entre 6.11.0 e 6.11.3, é vulnerável.
Existem ferramentas de análise estática e dinâmica que podem ajudar a identificar vulnerabilidades de poluição de protótipos no código.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.