JavaScript原型链污染漏洞分析

原型链污染漏洞CVE：

1、yargs-Parser 输入验证错误漏洞(CVE-2020-7608)

2、tough-cookie 安全漏洞(CVE-2023-26136)

3、JSON5 原型污染漏洞(CVE-2022-46175)

 

漏洞描述：

1、yargs-Parser 输入验证错误漏洞(CVE-2020-7608)：

yargs-parser是一款选项解析器。

yargs-parser 13.1.2之前版本、14.0.0及之后版本（15.0.1版本已修复）和16.0.0及之后版本（18.1.1版本已修复）中存在安全漏洞。

攻击者可借助'proto'的payload，利用该漏洞添加或修改Object.prototype属性。

2、tough-cookie 安全漏洞(CVE-2023-26136)：

在 rejectPublicSuffixes=false 模式下使用 CookieJar 时，由于未正确处理 Cookie，4.1.3 之前的软件包 tough-cookie 版本容易受到原型污染的影响。

 

详情：JavaScript原型链污染漏洞分析