功能集值中的原型污染

CVE编号

CVE-2019-10747

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-08-24

漏洞描述

在2.0.1版本和3.0.0版本之前的版本中，set-value容易受到Prototype污染的影响。可以使用任何构造函数，原型和_proto_有效负载来欺骗函数mixin-deep添加或修改Object.prototype的属性。<br>

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://lists.apache.org/thread.html/b46f35559c4a97cf74d2dd7fe5a48f8abf2ff37f...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://snyk.io/vuln/SNYK-JS-SETVALUE-450213

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	set-value_project	set-value	*		Up to (excluding) 2.0.1
	运行在以下环境
	应用	set-value_project	set-value	*	From (including) 3.0.0	Up to (excluding) 3.0.1
	运行在以下环境
	系统	centos_8	node-set-value	*		Up to (excluding) 12.20.1-1.module+el8.3.0+9503+19cb079c
	运行在以下环境
	系统	debian_10	node-set-value	*		Up to (excluding) 0.4.0-1+deb10u1
	运行在以下环境
	系统	debian_9	node-set-value	*		Up to (excluding) 0.4.0-1
	运行在以下环境
	系统	fedora_30	node-set-value	*		Up to (excluding) 2.0.1-1.fc30
	运行在以下环境
	系统	fedora_31	node-set-value	*		Up to (excluding) 2.0.1-1.fc31
	运行在以下环境
	系统	oracle_8	node-set-value	*		Up to (excluding) 12.20.1-1.module+el8.3.0+9643+8c99e187
	运行在以下环境
	系统	redhat_8	node-set-value	*		Up to (excluding) 12.20.1-1.module+el8.3.0+9503+19cb079c
查看完整数据

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-400 未加控制的资源消耗（资源穷尽）