平台
nodejs
组件
object-path
修复版本
0.11.6
0.11.5
CVE-2020-15256是object-path库中存在的原型污染漏洞,该漏洞影响set()方法,允许攻击者修改对象的原型,可能导致拒绝服务或代码执行。此漏洞影响object-path <= 0.11.4版本,但仅限于启用了includeInheritedProps模式的情况。建议升级到版本0.11.5或更高版本以修复此漏洞。
在 object-path <= 0.11.4 版本中,发现 set() 方法存在原型污染漏洞。此漏洞仅限于 includeInheritedProps 模式(如果使用版本 >= 0.11.0),需要通过创建 object-path 的新实例并设置 includeInheritedProps: true 选项,或使用默认的 withInheritedProps 实例来显式启用此模式。如果使用版本 >= 0.11.0,默认操作模式不受此漏洞影响。攻击者可以利用此漏洞修改对象原型的属性,这可能导致意外行为或恶意代码执行,特别是当受影响的对象用于敏感操作时。CVSS 严重性评级为 7.7,表明存在高风险。
利用此漏洞需要控制提供给 set() 方法的输入,并且处于 includeInheritedProps 模式。攻击者可以注入恶意数据,从而修改对象原型,可能影响使用这些对象的应用程序的其他部分。利用难度取决于攻击者控制输入的能力以及应用程序的复杂性。在以下情况下,此漏洞更具风险:使用 object-path 操纵敏感数据或在具有提升权限的环境中运行的应用程序。
漏洞利用状态
EPSS
0.16% (37% 百分位)
CVSS 向量
解决此漏洞的方案是更新 object-path 库到版本 0.11.5 或更高版本。如果无法立即更新,建议禁用 includeInheritedProps 模式,避免创建带有 includeInheritedProps: true 选项的实例,并且仅在绝对必要时才使用默认的 withInheritedProps 实例。 审查使用 object-path 的代码以识别和减轻任何潜在的原型污染影响至关重要。 在应用任何缓解措施后,建议进行彻底的测试,以确保系统功能正常且漏洞已解决。 监控系统日志可以帮助检测利用尝试。
Actualice la biblioteca object-path a la versión 0.11.5 o superior. Si no puede actualizar, evite usar la opción `includeInheritedProps: true` o la instancia `withInheritedProps` en versiones mayores o iguales a 0.11.0. Si está utilizando una versión anterior a 0.11.0, la única solución es actualizar.
漏洞分析和关键警报直接发送到您的邮箱。
原型污染是指修改对象的原型,从而影响该对象的全部实例。这可能导致意外行为和安全问题。
检查项目中的 object-path 版本。如果版本小于或等于 0.11.4,则您正在使用易受攻击的版本。
如果您正在使用 withInheritedProps,则务必更新到版本 0.11.5 或更高版本。如果无法更新,请考虑禁用此功能。
进行彻底的安全审计,以识别漏洞造成的任何损害。实施额外的安全措施以防止未来的攻击。
请参阅国家漏洞数据库 (NVD) 等漏洞数据库中的 CVE-2020-15256 条目。