JavaScript原型链污染漏洞分析
原型链污染漏洞CVE:
1、yargs-Parser 输入验证错误漏洞(CVE-2020-7608)
2、tough-cookie 安全漏洞(CVE-2023-26136)
3、JSON5 原型污染漏洞(CVE-2022-46175)
漏洞描述:
1、yargs-Parser 输入验证错误漏洞(CVE-2020-7608):
yargs-parser是一款选项解析器。
yargs-parser 13.1.2之前版本、14.0.0及之后版本(15.0.1版本已修复)和16.0.0及之后版本(18.1.1版本已修复)中存在安全漏洞。
攻击者可借助'proto'的payload,利用该漏洞添加或修改Object.prototype属性。
2、tough-cookie 安全漏洞(CVE-2023-26136):
在 rejectPublicSuffixes=false 模式下使用 CookieJar 时,由于未正确处理 Cookie,4.1.3 之前的软件包 tough-cookie 版本容易受到原型污染的影响。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 阿里最新开源QwQ-32B,效果媲美deepseek-r1满血版,部署成本又又又降低了!
· SQL Server 2025 AI相关能力初探
· 单线程的Redis速度为什么快?
· AI编程工具终极对决:字节Trae VS Cursor,谁才是开发者新宠?
· 开源Multi-agent AI智能体框架aevatar.ai,欢迎大家贡献代码