关键漏洞信息 漏洞类型 Prototype Pollution 影响范围 包受影响版本:>=6.10.0 =6.11.0 <6.11.3 修复建议 升级 至 6.10.3, 6.11.3 或更高版本。 漏洞概述 是用于 JavaScript(& TypeScript)的协议缓冲区。 受影响的版本存在 Prototype Pollution 漏洞,允许攻击者添加或修改 的属性。 漏洞可在多种方式下发生: 1. 通过将不受信任的用户输入提供给 或 函数。 2. 通过解析/加载 文件。 漏洞严重性 CVSS 评分:8.2 高 威胁情报 利用成熟度:概念验证 EPSS:0.39%(60th 百分位) 漏洞细节 Prototype Pollution 是影响 JavaScript 的漏洞,允许向现有 JavaScript 构造原型注入属性。 攻击者通过操纵 Object.prototype 属性来实现攻击。 存在两种主要的原型污染方式:不安全的对象递归合并和基于路径的属性定义。 攻击类型 服务拒绝 (DoS) 远程代码执行 属性注入 受影响环境 应用程序服务器 Web 服务器 Web 浏览器 预防措施 1. 冻结原型——使用 。 2. 要求 JSON 输入的模式验证。 3. 避免使用不安全的递归合并函数。 4. 考虑使用没有原型的对象(例如, )以打破原型链,防止污染。 5. 尽量使用 Map 而不是 Object。