tough-cookie<4.1.3 存在原型污染漏洞

2023年8月30日下午3:06 • 漏洞

tough-cookie<4.1.3 存在原型污染漏洞

漏洞类型	原型污染	发现时间	2023/7/1	漏洞等级	中危
MPS编号	MPS-esyq-56vx	CVE编号	–	漏洞影响广度	一般

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

tough-cookie 是一个用于处理 HTTP cookie 的 JavaScript 库。受影响版本中的 rejectPublicSuffixes=false 模式下使用 CookieJar 存在原型污染漏洞，攻击者可修改 Domain=__proto__; 原型属性执行恶意代码。用户可通过在 Map 中存储 cookie 或使用 this.idx = Object.create(null) 创建 idx 变量缓解此漏洞。参考链接：https://www.oscs1024.com/hd/MPS-esyq-56vx

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
tough-cookie@[2.3.0, 4.1.3)	更新	升级Node.js到 16.20.1 或 18.16.1 或 20.3.1 或更高版本
参考链接：https://www.oscs1024.com/hd/MPS-esyq-56vx

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-esyq-56vx

https://nvd.nist.gov/vuln/detail/CVE-2023-26136

https://github.com/salesforce/tough-cookie/issues/282

https://github.com/salesforce/tough-cookie/commit/12d474791bb856004e858fdb1c47b7608d09cf6e

MPS-esyq-56vx tough-cookie 漏洞

赞 (0)

Apache Airflow JDBC Provider <4.0.0 远程代码执行漏洞（CVE-2023-22886）

上一篇 2023年8月30日下午3:03

Apache Airflow Spark Provider 反序列化漏洞 (CVE-2023-40195)

下一篇 2023年8月31日上午10:00

漏洞

PyPI仓库 Anrk 组件内嵌木马

【高危】PyPI仓库 Anrk 组件内嵌木马漏洞描述当用户安装受影响版本的 Anrk 等Python组件包时会从攻击者的GitHub地址下载并执行恶意木马 Payload.exe，攻击者可窃取主机信息并进行远控。 MPS编号 MPS-06f8-lav5 处置建议强烈建议修复发现时间 2025-08-25 投毒仓库 pip 投毒类型主机信息收集、后门…

2025年8月26日
00
漏洞

GitLab 16.9存储型XSS漏洞 (CVE-2024-1451)

漏洞类型 XSS 发现时间 2024-02-22 漏洞等级高危 MPS编号 MPS-32tr-yco1 CVE编号 CVE-2024-1451 漏洞影响广度广漏洞危害 OSCS 描述 GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。 GitLab 受影响版本中的用户资料页面存在存储型XSS漏洞，攻击者可将恶意载荷添加到个人资料(…

2024年2月23日
00
漏洞

GitLab 角色权限提升漏洞 (CVE-2024-1250)

漏洞类型权限管理不当发现时间 2024-02-13 漏洞等级中危 MPS编号 MPS-fspd-zg1w CVE编号 CVE-2024-1250 漏洞影响广度广漏洞危害 OSCS 描述 GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。由于在分配组访问令牌权限时权限分配不当，导致当用户被分配了具有manage_group_a…

2024年2月16日
00
深信服 SSL VPN 设备 IPsec 服务漏洞

【严重】深信服 SSL VPN 设备 IPsec 服务漏洞漏洞描述深信服SSL VPN是一款企业级的安全远程接入解决方案，旨在让员工等授权用户可以从任何地点安全、便捷地访问公司内部的网络资源和业务系统，ipsec vpn常用于不同网络区域之间的互联。深信服 SSL VPN 设备 IPsec 服务可能存在鉴权绕过漏洞，攻击者可利用该漏洞造成敏感数据泄露或服…

漏洞 2025年7月21日
00
漏洞

NPM组件 acronis-platform-configs 等窃取主机敏感信息

【高危】NPM组件 acronis-platform-configs 等窃取主机敏感信息漏洞描述当用户安装受影响版本的 acronis-platform-configs 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-xfem-1i7s 处置建议强烈建议修复发现时间 2025-07-2…

2025年7月27日
00