未修补的原型污染漏洞曝光，影响所有流行的Lodash版本 – 作者:厦门安胜网络科技有限公司

据外媒报道，开源安全平台Snyk的研究人员Liran Tal发现了一个高严重性的原型污染安全漏洞，允许黑客破坏受影响服务的安全性，包括最新版本4.17.11在内的所有Lodash版本均受影响。

图片来源于pixabay

据悉，根据受影响用例及是否可利用的情况，该漏洞的影响范围包括属性注入、代码执行、拒绝服务等。该漏洞被追踪为CVE-2019-10744，允许黑客修改Web应用程序的JavaScript对象的默认结构和默认值，通过欺骗Lodash库中的“defaultsDeep”函数，使用构造函数有效负载添加或修改Object.prototype的属性，导致Web应用程序崩溃并在未收到预期值时更改其行为。

图片来源于unsplash

截至目前，研究人员已向Lodash报告该漏洞，并提供了修复方案，预计于下个版本中发布。专家建议用户在官方补丁发布后立即更新，或手动修补应用程序。

来源：freebuf.com 2019-07-10 15:23:05 by: 厦门安胜网络科技有限公司