漏洞关键信息 漏洞类型 Prototype Pollution 影响库及版本 object-extend package, versions >=0.0.0 引入时间 2022-02-15 漏洞标识 CVE-2021-23702 CWE-1321 修复建议 目前没有修复版本。 严重程度 CVSS V3.1 Base Score: 7.6 (High) 威胁情报 Exploit Maturity: Proof of Concept EPSS: 0.38% (59th percentile) 概述 受影响的版本此包易受通过object-extend原型污染的影响。 Proof of Concept (PoC) 细节 原型污染是一种影响JavaScript的漏洞,允许向现有JavaScript语言构造原型的对象注入属性。 攻击方式 Denial of Service (DoS) Remote Code Execution Property Injection 受影响环境 应用服务器 Web服务器 网页浏览器 防御措施 1. 冻结原型 - 使用Object.freeze (Object.prototype)。 2. 要求JSON输入的模式验证。 3. 避免使用不安全的递归合并函数。 4. 考虑使用没有原型的对象(例如,Object.create(null)),中断原型链并防止污染。 5. 最佳实践使用Map而不是Object。