危险错误可以使攻击者通过修改其运行时操纵应用程序的行为
流行的节点福克式JavaScript库中的结转功能包含一个漏洞,可以允许攻击者执行原型污染攻击反对申请,根据Github的咨询。
节点福克,由超过350万个存储库使用,实施各种密码学实用程序,TLS协议和用于开发Web应用程序的工具。beplay体育能用吗
原型污染是危险的漏洞这使攻击者可以通过在运行时修改其代码来操纵应用程序的行为。
它通常是通过恶意输入进行的,根据脆弱的组件,可能会导致一系列攻击,包括拒绝服务甚至远程代码执行(RCE)。
Node-Forge中的罪魁祸首是util.setPath(),自图书馆早期版本以来,它一直存在于该函数之前,它才集中在密码学上。
“util.setPath当与不安全的输入一起使用时,有潜在的原型污染安全问题。SetPath是一种通用功能,允许开发人员通过传递文本字符串来更改对象的属性。
这个错误是第一个报告给Snyk在Node-Forge的维护者发布了一个补丁后,该发现披露了其发现。
国家漏洞数据库给予SNYK的高度差异为9.8,为7.3。Snyk网站上发布的概念证明表明beplay体育能用吗SetPath可以用来污染__原型__基本对象的属性,导致范围范围的修改。
一个使用不安全输入时,使用UTIT.SETPATH()时潜在的原型污染安全问题
“这些功能本身并未使用。他们的历史可以追溯到早期锻造的目标,以提供一般的助手功能。
Node-Forge的维护者David Lehn告诉每日swbeplay2018官网ig:“我们从来没有观察到任何人根本使用该功能,包括内部锻造本身,更不用说利用它了。”
与其他相关功能一起SetPath从最新版本的Node-Forge中删除。
Node-Forge的维护者建议使用其他具有相似财产设置功能的库,例如Lodash,但还警告这些库中可能的原型污染漏洞。
“lodash set()与什么相似setPath()做过(还有一个很好的支持替代品SetPath)。我想其他人编写了类似的对象路径设定代码。正确使用时,这非常有用。”
