正文

node-open-graph 安全漏洞

admin
admin V管理员 /0 评论 /23 阅读
0421
此篇文章发布距今已超过1152天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2021-23419

利用情况

暂无

补丁情况

N/A

披露时间

2021-08-08
漏洞描述
node-open-graph是开源的Node.js的Open Graph实现。
node-open-graph 0.2.6 之前版本存在安全漏洞,攻击者可以使用 __proto__ 或构造函数负载来欺骗函数 parse 以添加或修改 Object.prototype 的属性。
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/samholmes/node-open-graph/commit/a0cef507a90adaac7dbbe9c404f09a50bdefb348
参考链接
https://github.com/samholmes/node-open-graph/commit/a0cef507a90adaac7dbbe9c40...
https://snyk.io/vuln/SNYK-JS-OPENGRAPH-1536747
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 open-graph_project open-graph * Up to
(excluding)
0.2.6
CVSS3评分 5.3
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 无
  • 保密性 无
  • 完整性 低
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N CWE-ID 漏洞类型 CWE-915 动态确定对象属性修改的控制不恰当