1. 墨知首页
  2. 漏洞

tough-cookie<4.1.3 存在原型污染漏洞

漏洞
tough-cookie<4.1.3 存在原型污染漏洞
漏洞类型原型污染发现时间2023/7/1漏洞等级中危
MPS编号MPS-esyq-56vxCVE编号漏洞影响广度一般

目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
tough-cookie 是一个用于处理 HTTP cookie 的 JavaScript 库。受影响版本中的 rejectPublicSuffixes=false 模式下使用 CookieJar 存在原型污染漏洞,攻击者可修改 Domain=__proto__; 原型属性执行恶意代码。用户可通过在 Map 中存储 cookie 或使用 this.idx = Object.create(null) 创建 idx 变量缓解此漏洞。参考链接:https://www.oscs1024.com/hd/MPS-esyq-56vx

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围处置方式处置方法
tough-cookie@[2.3.0, 4.1.3)更新升级Node.js到 16.20.1 或 18.16.1 或 20.3.1 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-esyq-56vx

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-esyq-56vx

https://nvd.nist.gov/vuln/detail/CVE-2023-26136

https://github.com/salesforce/tough-cookie/issues/282

https://github.com/salesforce/tough-cookie/commit/12d474791bb856004e858fdb1c47b7608d09cf6e

(0)
上一篇 2023年8月30日 下午3:03
下一篇 2023年8月31日 上午10:00

相关推荐

  • Apache Submarine SQL 注入漏洞 (CVE-2023-37924) 漏洞

    Apache Submarine SQL 注入漏洞 (CVE-2023-37924)

    漏洞类型 SQL注入 发现时间 2023-11-22 漏洞等级 严重 MPS编号 MPS-ajf4-uzhd CVE编号 CVE-2023-37924 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Submarine是一个端到端的机器学习平台,允许数据科学家创建完整的机器学习工作流程,涵盖数据探索、数据管道创建、模型训练、服务以及监控的每个阶段。…

    2023年11月23日
    0
  • Apache Arrow PyArrow 任意代码执行 (CVE-2023-47248) 漏洞

    Apache Arrow PyArrow 任意代码执行 (CVE-2023-47248)

    漏洞类型 反序列化 发现时间 2023-11-09 漏洞等级 高危 MPS编号 MPS-eck2-x5ys CVE编号 CVE-2023-47248 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Arrow是一个跨语言的开发平台,PyArrow是Apache Arrow的Python库,为Apache Arrow的C++实现提供了Python …

    2023年11月10日
    0
  • Sudo <1.9.15 故障注入导致权限提升漏洞 (CVE-2023-42465) 漏洞

    Sudo <1.9.15 故障注入导致权限提升漏洞 (CVE-2023-42465)

    漏洞类型 非预期数据类型处理不恰当 发现时间 2023-12-23 漏洞等级 中危 MPS编号 MPS-03xh-sirc CVE编号 CVE-2023-42465 漏洞影响广度 广 漏洞危害 OSCS 描述 Sudo 是一款使用于类Unix系统的,允许用户通过安全的方式使用特殊的权限执行命令的程序。 Sudo 1.9.15 之前的版本存在绕过认证或特权升级…

    2023年12月26日
    0
  • LangChain langchain-experimental 任意代码执行 (CVE-2024-27444) 漏洞

    LangChain langchain-experimental 任意代码执行 (CVE-2024-27444)

    漏洞类型 代码注入 发现时间 2024-02-27 漏洞等级 高危 MPS编号 MPS-1t8v-pu7m CVE编号 CVE-2024-27444 漏洞影响广度 广 漏洞危害 OSCS 描述 LangChain Experimental 在 pal_chain/base.py 中未禁止对特定Python属性的访问,这些属性包括__import__、__su…

    2024年2月27日
    0
  • Apache ActiveMQ < 5.18.3 远程代码执行漏洞 (MPS-bd9c-7xsh) 漏洞

    Apache ActiveMQ < 5.18.3 远程代码执行漏洞 (MPS-bd9c-7xsh)

    漏洞类型 反序列化 发现时间 2023-10-25 漏洞等级 严重 MPS编号 MPS-bd9c-7xsh CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache ActiveMQ 是美国阿帕奇(Apache)基金会的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。 ActiveMQ默认…

    2023年10月26日
    0