CRITICALCVE-2021-3918CVSS 9.8

json-schema 存在 Prototype Pollution 漏洞

平台

nodejs

组件

json-schema

修复版本

0.3.1

0.4.0

AI Confidence: highNVDEPSS 1.3%已审阅: 2026年3月

在NVD查看

保存

CVE-2021-3918 是 json-schema 库中的原型污染漏洞。攻击者可以利用此漏洞修改 JavaScript 对象的原型属性，从而可能导致应用程序行为异常或安全风险。该漏洞影响 json-schema 的 0.4.0 之前的版本，建议用户尽快升级至 0.4.0 版本以消除风险。

影响与攻击场景

原型污染攻击允许攻击者通过修改 JavaScript 对象的原型链来注入恶意代码或修改应用程序的行为。在 json-schema 中，攻击者可以利用此漏洞影响 JSON 模式验证过程，可能导致数据篡改或拒绝服务。更严重的后果包括攻击者能够执行任意代码，如果 json-schema 库被用于处理不受信任的输入，则风险会显著增加。这种攻击模式类似于其他原型污染漏洞，可能导致意外的应用程序行为和安全漏洞。

利用背景

此漏洞已公开披露，并且存在公开的 PoC 代码。虽然目前尚未观察到大规模的利用，但由于漏洞的严重性和易于利用，预计未来可能会被积极利用。该漏洞尚未被添加到 CISA KEV 目录，但由于其潜在影响，应予以密切关注。建议持续监控应用程序日志和安全警报，以检测任何可疑活动。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

1.26% (79% 百分位)

CVSS 向量

受影响的软件

组件json-schema

供应商osv

影响范围修复版本

unspecified – 0.3.00.3.1

—0.4.0

弱点分类 (CWE)

CWE-1321

时间线

已保留2021-11-02
发布日期2021-11-19
修改日期2025-01-17
EPSS 更新日期2026-04-02

披露后-10天发布补丁

缓解措施和替代方案

最有效的缓解措施是升级至 json-schema 0.4.0 或更高版本，该版本修复了此漏洞。如果无法立即升级，可以考虑使用输入验证库来清理 JSON 数据，防止恶意属性被注入。此外，可以实施严格的访问控制策略，限制对 json-schema 库的访问权限。使用 Web 应用程序防火墙 (WAF) 规则来检测和阻止原型污染攻击模式也是一种有效的防御手段。升级后，请验证 JSON 模式验证功能是否正常工作，确保修复已成功应用。

修复方法

将 json-schema 库升级到 0.3.0 之后的版本。这将会修复 Prototype Pollution 漏洞。您可以使用 npm 或 yarn 升级依赖。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2021-3918 — 原型污染漏洞在 json-schema 中的表现？

CVE-2021-3918 是 json-schema 库中的一个安全漏洞，允许攻击者通过原型污染修改 JavaScript 对象的原型属性，可能导致拒绝服务或代码执行。

我是否受到 CVE-2021-3918 在 json-schema 中的影响？

如果您的应用程序使用了 json-schema 的 0.4.0 之前的版本，则可能受到此漏洞的影响。请立即检查您的依赖项版本。

我如何修复 CVE-2021-3918 在 json-schema 中的问题？

升级至 json-schema 0.4.0 或更高版本以修复此漏洞。如果无法升级，请考虑使用输入验证库来清理 JSON 数据。

CVE-2021-3918 是否正在被积极利用？

虽然目前尚未观察到大规模的利用，但由于漏洞的严重性和易于利用，预计未来可能会被积极利用。

在哪里可以找到 json-schema 官方关于 CVE-2021-3918 的公告？

请访问 json-schema 的 GitHub 仓库或相关安全公告网站以获取更多信息：https://github.com/JSON-Schema-Validator/json-schema