UNKNOWNCVE-2020-15256

object-path 中的原型污染

平台

nodejs

组件

object-path

已修复版本

0.11.5

### 影响在 `object-path` <= 0.11.4 中发现了一个原型污染漏洞，影响 `set()` 方法。该漏洞仅限于 `includeInheritedProps` 模式（如果使用 >= 0.11.0 版本），必须通过创建 `object-path` 的新实例并设置选项 `includeInheritedProps: true`，或者使用默认的 `withInheritedProps` 实例来显式启用。如果使用 >= 0.11.0 版本，则默认操作模式不受该漏洞的影响。 < 0.11.0 版本中 `set()` 的任何用法都容易受到攻击。 ### 补丁升级到 >= 0.11.5 版本 ### 解决方法如果使用 >= 0.11.0 版本，请不要使用 `includeInheritedProps: true` 选项或 `withInheritedProps` 实例。 ### 参考 [阅读更多关于原型污染漏洞的信息](https://codeburst.io/what-is-prototype-pollution-49482fc4b638) ### 更多信息如果您对此公告有任何问题或意见： * 在 [object-path](https://github.com/mariocasciaro/object-path) 中打开一个 issue

修复方法

暂无官方补丁。请查找临时解决方案或持续关注更新。

自动监控您的依赖项

当新漏洞影响您的项目时获得提醒。

免费开始