tough-cookie<4.1.3 存在原型污染漏洞

2023年8月30日下午3:06 • 漏洞

tough-cookie<4.1.3 存在原型污染漏洞

漏洞类型	原型污染	发现时间	2023/7/1	漏洞等级	中危
MPS编号	MPS-esyq-56vx	CVE编号	–	漏洞影响广度	一般

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

tough-cookie 是一个用于处理 HTTP cookie 的 JavaScript 库。受影响版本中的 rejectPublicSuffixes=false 模式下使用 CookieJar 存在原型污染漏洞，攻击者可修改 Domain=__proto__; 原型属性执行恶意代码。用户可通过在 Map 中存储 cookie 或使用 this.idx = Object.create(null) 创建 idx 变量缓解此漏洞。参考链接：https://www.oscs1024.com/hd/MPS-esyq-56vx

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
tough-cookie@[2.3.0, 4.1.3)	更新	升级Node.js到 16.20.1 或 18.16.1 或 20.3.1 或更高版本
参考链接：https://www.oscs1024.com/hd/MPS-esyq-56vx

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-esyq-56vx

https://nvd.nist.gov/vuln/detail/CVE-2023-26136

https://github.com/salesforce/tough-cookie/issues/282

https://github.com/salesforce/tough-cookie/commit/12d474791bb856004e858fdb1c47b7608d09cf6e

MPS-esyq-56vx tough-cookie 漏洞

赞 (0)

Apache Airflow JDBC Provider <4.0.0 远程代码执行漏洞（CVE-2023-22886）

上一篇 2023年8月30日下午3:03

Apache Airflow Spark Provider 反序列化漏洞 (CVE-2023-40195)

下一篇 2023年8月31日上午10:00

漏洞

NPM组件 querypilot 等窃取主机敏感信息

【高危】NPM组件 querypilot 等窃取主机敏感信息漏洞描述当用户安装受影响版本的 querypilot 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-2kgq-v17b 处置建议强烈建议修复发现时间 2025-07-05 投毒仓库 npm 投毒类型主机信息收集利…

2025年7月6日
00
漏洞

MeterSphere 未授权访问漏洞（CVE-2023-38494） [有POC]

漏洞类型未授权敏感信息泄露发现时间 2023/8/5 漏洞等级中危 MPS编号 MPS-gxew-hdmv CVE编号 CVE-2023-38494 漏洞影响广度小漏洞危害 OSCS 描述在 webapp、standalone 版本中使用了 commons-beanutils 组件来进行对象反序列化。由于commons-beanutils中存在一…

2023年8月11日
00
漏洞

Jira Assets Discovery 组件存在注入漏洞 (CVE-2024-21682)

漏洞类型代码注入发现时间 2024-02-21 漏洞等级高危 MPS编号 MPS-s5lz-o62n CVE编号 CVE-2024-21682 漏洞影响广度一般漏洞危害 OSCS 描述 Assets Discovery 组件是一个网络扫描工具，可与Jira Service Management Cloud、Data Center或Server配合使…

2024年2月21日
00
漏洞

Apache Ambari < 2.7.8 XXE注入漏洞 (CVE-2023-50380)

漏洞类型 XXE 发现时间 2024-02-28 漏洞等级高危 MPS编号 MPS-2950-d3zu CVE编号 CVE-2023-50380 漏洞影响广度小漏洞危害 OSCS 描述 Apache Ambari 是一个用于配置、管理和监控 Apache Hadoop 集群的工具。 Apache Ambari

2024年2月29日
00
漏洞

Apache Solr 环境变量信息泄漏漏洞 (CVE-2023-50290)

漏洞类型未授权敏感信息泄露发现时间 2024-01-13 漏洞等级高危 MPS编号 MPS-xjy6-0kiu CVE编号 CVE-2023-50290 漏洞影响广度广漏洞危害 OSCS 描述 Apache Solr 是一款开源的搜索引擎。在 Apache Solr 受影响版本中，由于 Solr Metrics API 默认输出所有未单独配置保护…

2024年1月15日
00