node-forge JavaScript庫中存在的漏洞是怎樣的

本篇文章為大家展示了node-forge JavaScript庫中存在的漏洞是怎樣的，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細(xì)介紹希望你能有所收獲。

流行的node-forge JavaScript庫的一個(gè)遺留函數(shù)中存在一個(gè)安全漏洞（CVE-2020-7720），攻擊者可利用該漏洞對應(yīng)用程序執(zhí)行原型污染攻擊。

超過350萬個(gè)存儲(chǔ)庫使用的node-forge實(shí)現(xiàn)了各種加密實(shí)用程序，TLS協(xié)議和用于開發(fā)web應(yīng)用程序的工具。

原型污染是一種嚴(yán)重的漏洞，攻擊者可通過在運(yùn)行時(shí)修改應(yīng)用程序的代碼利用該漏洞篡改應(yīng)用程序的行為。

這通常通過惡意輸入來執(zhí)行，取決于脆弱的組件，可導(dǎo)致一系列攻擊，包括拒絕服務(wù)甚或遠(yuǎn)程執(zhí)行代碼。

該漏洞存在于node-forge中的util.setPath()函數(shù)，該函數(shù)自該庫的早期版本開始，在該庫開始注重加密之前，就已存在。

根據(jù)node-forge的更新日志，當(dāng)使用不安全的輸入時(shí)，util.setPath存在一個(gè)潛在的原型污染安全漏洞。setPath是一個(gè)通用函數(shù)，允許開發(fā)人員通過傳遞文本字符串修改對象的屬性。

該漏洞最先被報(bào)告給安全公司Snyk，在node-forge的維護(hù)人員發(fā)布補(bǔ)丁后，該公司披露了該漏洞。

Snyk給予該漏洞9.8分的超危評分，而NVD對該漏洞的評分為7.3。Snyk網(wǎng)站上發(fā)布的PoC顯示，setPath可被用于污染基礎(chǔ)對象的__prototype__屬性，導(dǎo)致應(yīng)用程序被修改。

Node-forge更新日志寫道，“Forge本身并不使用這些函數(shù)。它們可追溯至早些時(shí)候，當(dāng)forge定向提供通用助手功能時(shí)?！?/p>

Node-forge的維護(hù)人員David Lehn表示，“我們從未觀察到任何人使用該函數(shù)，包括forge自身，更別提利用它了?！?/p>

和其他相關(guān)的函數(shù)一起，setPath被從node-forge最新版本中移除了。

Node-forge的維護(hù)人員建議使用其他具有類似屬性設(shè)置功能的庫，例如lodash，但是也警告在這些庫中可能有原型污染漏洞。

“l(fā)odash set()類似于setPath()（也是setPath的一個(gè)很好的受支持的替代）。我想其他人已經(jīng)編寫了類似的object-path-setting代碼。當(dāng)正確使用時(shí)，它是非常有用的。”Lehn說道，但是他補(bǔ)充表示，如果沒有過濾輸入，提供該功能的任何代碼都可能含有類似的安全漏洞。

上述內(nèi)容就是node-forge JavaScript庫中存在的漏洞是怎樣的，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注億速云行業(yè)資訊頻道。