@intlify/shared >=9.7.0 <= 10.0.4 中的原型污染(CVE-2024-52810)
CVE编号
CVE-2024-52810
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-30
漏洞描述
@intlify/shared 是一个 intlify 项目的共享库。最新的 @intlify/shared 版本(10.0.4)存在原型污染漏洞,该漏洞通过入口函数 lib.deepCopy 产生。攻击者可以提供一个带有 Object.prototype 设置器的负载来引入或修改全局原型链中的属性,从而导致服务拒绝(DoS)等后果。此外,根据该库在应用程序中的集成方式,这种漏洞的后果可能会升级为其他基于注入的攻击。例如,如果污染的属性传播到敏感的 Node.js API(例如 exec、eval),攻击者可能会在应用程序的上下文中执行任意命令。这个问题已在 9.14.2 和 10.0.5 版本中得到解决。建议用户进行升级。对于此漏洞,没有已知的解决方法。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论