据外媒报道,开源安全平台Snyk的研究人员Liran Tal发现了一个高严重性的原型污染安全漏洞,允许黑客破坏受影响服务的安全性,包括最新版本4.17.11在内的所有Lodash版本均受影响。
图片来源于pixabay
据悉,根据受影响用例及是否可利用的情况,该漏洞的影响范围包括属性注入、代码执行、拒绝服务等。该漏洞被追踪为CVE-2019-10744,允许黑客修改Web应用程序的JavaScript对象的默认结构和默认值,通过欺骗Lodash库中的“defaultsDeep”函数,使用构造函数有效负载添加或修改Object.prototype的属性,导致Web应用程序崩溃并在未收到预期值时更改其行为。
图片来源于unsplash
截至目前,研究人员已向Lodash报告该漏洞,并提供了修复方案,预计于下个版本中发布。专家建议用户在官方补丁发布后立即更新,或手动修补应用程序。
来源:freebuf.com 2019-07-10 15:23:05 by: 厦门安胜网络科技有限公司
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册