- A+
所属分类:未分类
网络安全专家报告提到,流行的JavaScript库jQuery已被一个不寻常的原型污染漏洞所破坏,该漏洞可能允许威胁参与者修改Javascript对象原型。
考虑到目前超过70%的功能性网站使用该库,估计这个问题的影响可能很严重; 大多数网站仍然使用该库的1.x和2.x版本,使它们容易受到这个漏洞的影响。
网络安全专家提到,最近发布了一个更新补丁来纠正这个漏洞,这是在这个图书馆收到的最后一次安全更新三年之后。
专家提到JavaScript对象就像根据默认结构可以存储多个值的变量。 至于原型,这些原型用于定义JavaScript对象中的结构。
根据国际网络安全研究所(IICS)的专家,如果恶意用户能够修改JavaScript对象原型,则可能导致应用程序崩溃并在未收到预期值的情况下修改其操作。 由于JavaScript的广泛使用,在原型中利用此漏洞可能会在多个Web应用程序中导致严重问题。
网络安全专家表明,利用此漏洞(标识为CVE-2019-11358)可以在使用jQuery库代码的Web应用程序中为自己分配管理员权限。
专家们指出,原型污染的这种脆弱性对其大规模利用不起作用,因为漏洞利用的代码必须是针对每个单独的JavaScript对象特别精心设计的,所以至少不是所有东西都是坏消息。
此外,专家建议使用此库的Web开发人员尽快更新到最新版本的jQuery(v 3.4.0)。 根据报告,该库的最新版本包括在图书馆使用期间对某些不良功能的更正; 有关这些修复程序的技术细节可以在官方jQuery开发人员的博客中找到。
2019年4月23日
