平台
nodejs
组件
object-path
修复版本
0.11.8
CVE-2021-3805 描述了 object-path 库中的一个原型污染漏洞。该漏洞允许攻击者通过恶意输入修改对象原型属性,从而可能导致应用程序行为异常或安全风险。此漏洞影响 object-path 版本小于等于 0.11.8 的应用程序。建议立即升级到 0.11.8 版本以消除此风险。
原型污染漏洞允许攻击者修改 JavaScript 对象的原型链,从而影响所有后续创建的对象。在 object-path 库中,攻击者可以利用此漏洞修改全局对象或应用程序内部使用的对象,从而可能导致拒绝服务 (DoS) 或更严重的后果,例如远程代码执行 (RCE)。攻击者可以通过精心构造的输入来触发此漏洞,并利用修改后的原型属性来篡改应用程序的逻辑或访问敏感数据。虽然直接的 RCE 可能性较低,但原型污染可以作为攻击链中的一个环节,进一步提升攻击的成功率。
该漏洞已公开披露,并存在公开的 PoC 代码。目前尚未观察到大规模的利用活动,但原型污染漏洞通常被认为是潜在的安全风险。CISA 尚未将其添加到 KEV 目录中。建议密切关注安全社区的动态,并及时采取缓解措施。
Applications that utilize the object-path library, particularly those processing untrusted user input, are at risk. Node.js projects relying on object-path as a dependency are especially vulnerable. Projects using older versions of Node.js that may have outdated dependency management practices are also at increased risk.
• nodejs:
npm list object-pathThis command will list installed versions of object-path. Check if the version is less than or equal to 0.11.8.
• nodejs:
npm audit object-pathThis command will check for known vulnerabilities in your project's dependencies, including CVE-2021-3805.
• generic web: Examine application logs for unusual object property modifications or errors related to object-path usage. Look for patterns indicating malicious path manipulation.
disclosure
漏洞利用状态
EPSS
0.65% (71% 百分位)
CVSS 向量
最有效的缓解措施是升级到 object-path 0.11.8 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑使用 Web 应用程序防火墙 (WAF) 或代理服务器来过滤恶意输入,阻止包含可能触发原型污染的特殊字符或模式的请求。此外,可以审查应用程序代码,确保对用户输入进行严格的验证和清理,避免将用户输入直接用于修改对象原型属性。在升级后,请确认漏洞已修复,可以通过检查 object-path 库的版本号来验证。
将 object-path 依赖项升级到 0.11.8 或更高版本。这修复了 Prototype Pollution 漏洞。执行 `npm install object-path@latest` 或 `yarn upgrade object-path` 进行升级。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2021-3805 描述了 object-path 库中存在的原型污染漏洞,允许攻击者修改对象原型属性,可能导致拒绝服务或潜在的安全风险。
如果您的应用程序使用了 object-path 库的版本小于等于 0.11.8,则可能受到此漏洞的影响。请立即检查您的依赖项版本。
升级到 object-path 0.11.8 或更高版本是修复此漏洞的最佳方法。如果无法升级,请考虑使用 WAF 或代理服务器来过滤恶意输入。
虽然目前尚未观察到大规模的利用活动,但原型污染漏洞通常被认为是潜在的安全风险,建议及时采取缓解措施。
请访问 object-path 的 GitHub 仓库或相关安全公告网站,查找有关 CVE-2021-3805 的官方信息。