漏洞关键信息 概述 漏洞类型: Prototype Pollution 影响包: pathval 受影响版本: <1.1.1 发布日期: 2020-07-30 CVE编号: CVE-2020-7751 CVE分类: CWE-1321 修复方法 修复建议: 升级 pathval 至版本 1.1.1 或更高版本 漏洞详情 摘要: pathval 在给定字符串路径时检索对象值。受影响版本存在原型污染漏洞。 PoC: 详情: 原型污染漏洞允许攻击者通过注入其他值来覆盖或污染JavaScript应用程序对象的原型,导致远程代码执行或服务拒绝。 污染原型的两种主要方式: - 不安全的对象递归合并 - 通过路径定义属性 攻击类型 服务拒绝(DoS) 远程代码执行 属性注入 受影响的环境 应用服务器 Web服务器 Web浏览器 如何预防 1. 冻结原型 - 使用 2. 要求JSON输入的模式验证 3. 避免使用不安全的递归合并函数 4. 使用没有原型的对象(例如, ) 5. 使用 而不是 参考信息 CVSS基础评分: Snyk 评分 6 (中等), NVD 评分 7.2 (高) CVSS基础评分详情: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 高 - 用户交互: 无 - 保密性影响: 低 - 完整性影响: 低 - 可用性影响: 高