| 漏洞类型 | 不完整的黑名单 | 发现时间 | 2023-10-13 | 漏洞等级 | 严重 |
| MPS编号 | MPS-avb9-j50z | CVE编号 | CVE-2023-45133 | 漏洞影响广度 | 广 |
漏洞危害
| OSCS 描述 |
| Babel 是开源的 JavaScript 编译器。 当使用依赖 path.evaluate() 或 path.evaluateTruthy()方法的插件编译攻击者可控的代码时将会执行恶意代码,以下插件受影响: 1. @babel/plugin-transform-runtime 2. @babel/preset-env(当使用 useBuiltIns 选项时) 3. 任何依赖于 @babel/helper-define-polyfill-provider 的 polyfill provider 插件,包括: babel-plugin-polyfill-corejs3、babel-plugin-polyfill-corejs2、babel-plugin-polyfill-es-shims、babel-plugin-polyfill-regenerator、babel-plugin-polyfill-custom @babel/下的其他插件不受影响, 但可能存在受影响的第三方插件。 参考链接:https://www.oscs1024.com/hd/MPS-avb9-j50z |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| @babel/traverse (-∞, 7.23.2) | 更新 | 升级@babel/traverse到 7.23.2、8.0.0-alpha.4 或更高版本 |
| 缓解措施 | 如果无法升级 @babel/traverse ,请将可触发漏洞的组件升级至安全版本: @babel/plugin-transform-runtime v7.23.2 @babel/preset-env v7.23.2 @babel/helper-define-polyfill-provider v0.4.3 babel-plugin-polyfill-corejs2 v0.4.6 babel-plugin-polyfill-corejs3 v0.8.5 babel-plugin-polyfill-es-shims v0.10.0 babel-plugin-polyfill-regenerator v0.5.3 |
|
| @babel/traverse [8.0.0-alpha.0, 8.0.0-alpha.4) | 更新 | 升级@babel/traverse到 7.23.2、8.0.0-alpha.4 或更高版本 |
| node-babel (-∞, 6.26.0+dfsg-3+deb10u1) | 升级 | 将组件 node-babel 升级至 6.26.0+dfsg-3+deb10u1 及以上版本 |
| node-babel7 (-∞, 7.20.15+ds1+~cs214.269.168-5) | 升级 | 将组件 node-babel7 升级至 7.20.15+ds1+~cs214.269.168-5 及以上版本 |
| 参考链接:https://www.oscs1024.com/hd/MPS-avb9-j50z | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-avb9-j50z
https://nvd.nist.gov/vuln/detail/CVE-2023-45133
https://github.com/babel/babel/commit/b13376b346946e3f62fc0848c1d2a23223314c82
https://github.com/babel/babel/security/advisories/GHSA-67hx-6×53-jw92
