漏洞类型	原型污染	发现时间	2023/7/1	漏洞等级	中危
MPS编号	MPS-esyq-56vx	CVE编号	–	漏洞影响广度	一般

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

3 排查方式

漏洞危害

OSCS 描述

tough-cookie 是一个用于处理 HTTP cookie 的 JavaScript 库。受影响版本中的 rejectPublicSuffixes=false 模式下使用 CookieJar 存在原型污染漏洞，攻击者可修改 Domain=__proto__; 原型属性执行恶意代码。用户可通过在 Map 中存储 cookie 或使用 this.idx = Object.create(null) 创建 idx 变量缓解此漏洞。参考链接：https://www.oscs1024.com/hd/MPS-esyq-56vx

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
tough-cookie@[2.3.0, 4.1.3)	更新	升级Node.js到 16.20.1 或 18.16.1 或 20.3.1 或更高版本
参考链接：https://www.oscs1024.com/hd/MPS-esyq-56vx

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-esyq-56vx

https://nvd.nist.gov/vuln/detail/CVE-2023-26136

https://github.com/salesforce/tough-cookie/issues/282

https://github.com/salesforce/tough-cookie/commit/12d474791bb856004e858fdb1c47b7608d09cf6e

tough-cookie<4.1.3 存在原型污染漏洞

漏洞危害

影响范围及处置方案

OSCS 平台影响范围和处置方案

排查方式

相关推荐

PowerJob<=4.3.3 远程代码执行漏洞 （CVE-2023-37754）[有POC]

Torchserve 存在Zip Slip漏洞 (CVE-2023-48299)

MLflow<2.9.2 存在任意文件写入漏洞 (CVE-2023-6753)

PaddlePaddle<2.6.0 存在命令注入漏洞 (CVE-2023-52310)

XXL-RPC 任意代码执行操作 (CVE-2023-45146)

PowerJob<=4.3.3 远程代码执行漏洞（CVE-2023-37754）[有POC]