据外媒报道,开源安全平台Snyk的研究人员Liran Tal发现了一个高严重性的原型污染安全漏洞,允许黑客破坏受影响服务的安全性,包括最新版本4.17.11在内的所有Lodash版本均受影响。
图片来源于pixabay
据悉,根据受影响用例及是否可利用的情况,该漏洞的影响范围包括属性注入、代码执行、拒绝服务等。该漏洞被追踪为CVE-2019-10744,允许黑客修改Web应用程序的JavaScript对象的默认结构和默认值,通过欺骗Lodash库中的“defaultsDeep”函数,使用构造函数有效负载添加或修改Object.prototype的属性,导致Web应用程序崩溃并在未收到预期值时更改其行为。
图片来源于unsplash
截至目前,研究人员已向Lodash报告该漏洞,并提供了修复方案,预计于下个版本中发布。专家建议用户在官方补丁发布后立即更新,或手动修补应用程序。
| 留言与评论(共有 0 条评论) |
