从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞类型:Prototype Pollution 2. 受影响的包: - @intlify/shared (npm) - @intlify/vue-i18n-core (npm) - petite-vue-i18n (npm) - vue-i18n (npm) 3. 受影响的版本范围: - @intlify/shared >=9.7.0 =9.7.0 = 10.0.0 - vue-i18n >= 9.7.0 <= 10.0.4 4. 已修复的版本: - @intlify/shared 9.14.2, 10.0.5 - @intlify/vue-i18n-core 9.14.2, 10.0.5 - petite-vue-i18n 10.0.5 - vue-i18n 9.14.2, 10.0.5 5. 漏洞描述: - @intlify/shared (10.0.4) 的 entry function 受到 Prototype Pollution 的影响。 - 攻击者可以通过在 上设置属性来引入或修改全局原型链中的属性,导致拒绝服务(DoS)的最小后果。 - 如果污染的属性传播到敏感的 Node.js API(例如,exec, eval),攻击者可能能够在应用程序的上下文中执行任意命令。 6. PoC(Proof of Concept): - 安装最新版本的包。 - 运行以下脚本: - 输出可能因代码版本不同而略有差异。 7. 参考链接: - Prototype Pollution Leading to Remote Code Execution - OWASP Prototype Pollution Prevention Cheat Sheet - PortSwigger Guide on Preventing Prototype Pollution 这些信息可以帮助开发者了解漏洞的性质、受影响的范围以及如何利用漏洞进行攻击,并提供了一些预防和修复的建议。