【漏洞通告】JSON5 Prototype混淆漏洞 CVE-2022-46175

admin 2023年1月1日15:25:48评论188 views字数 1015阅读3分23秒阅读模式
【漏洞通告】JSON5 Prototype混淆漏洞 CVE-2022-46175

漏洞名称:

JSON5 Prototype混淆漏洞

组件名称:

JSON5

影响范围:

JSON5 < 2.2.2

漏洞类型:

类型混淆

利用条件:

1、用户认证:不需要用户认证

2、前置条件:未知

3、触发方式:远程

综合评价:

<综合评定利用难度>:未知。

<综合评定威胁等级>:高危,能造成多种影响。

官方解决方案:

已发布


漏洞分析

【漏洞通告】JSON5 Prototype混淆漏洞 CVE-2022-46175

组件介绍

JSON5是一个JavaScript库,提供易于手动编写和维护的JSON解析和序列化支持,是JSON的超集,扩展了其语法。


JSON5主要作为Node.js的一个扩展包使用,已被Chromium、Next.js、Babel、Retool、WebStorm等大型项目采用,在MacOS和iOS等苹果平台上得到原生支持。

【漏洞通告】JSON5 Prototype混淆漏洞 CVE-2022-46175

漏洞简介

2022年12月30日,深信服安全团队监测到一则JSON5组件存在类型混淆漏洞的信息,漏洞编号:CVE-2022-46175,漏洞威胁等级:高危。


该漏洞是由于JSON5库的“parse”方法在2.2.1及之前的版本,未正确限制名为“__proto__”的键的解析,从而允许特制的字符串混淆生成对象的原型。攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行类型混淆攻击,造成的后果可能包括拒绝服务、跨站脚本、权限提升等,在特殊场景下可能存在远程代码执行。

影响范围

JSON5是多种大型项目兼容的扩展包,可以运行在几乎所有计算机平台上,是一款较为流行的JSON解析和序列化软件包。可能受漏洞影响的资产广泛分布于世界各地。


目前受影响的JSON5版本:

JSON5 < 2.2.2

解决方案

【漏洞通告】JSON5 Prototype混淆漏洞 CVE-2022-46175

官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://json5.org/


打补丁/升级方法:

如果是利用npm安装和管理的,可执行以下命令更新当前json5 版本:

npm update json5

参考链接

https://github.com/json5/json5/security/advisories/GHSA-9c47-m6qq-7p4h

时间轴


2022/12/30

深信服监测到JSON5 Prototype混淆漏洞攻击信息。

2022/12/30

深信服千里目安全技术中心发布漏洞通告。


点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【漏洞通告】JSON5 Prototype混淆漏洞 CVE-2022-46175


【漏洞通告】JSON5 Prototype混淆漏洞 CVE-2022-46175



原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】JSON5 Prototype混淆漏洞 CVE-2022-46175

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月1日15:25:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】JSON5 Prototype混淆漏洞 CVE-2022-46175https://cn-sec.com/archives/1490883.html

发表评论

匿名网友 填写信息