漏洞名称:
JSON5 Prototype混淆漏洞
组件名称:
JSON5
影响范围:
JSON5 < 2.2.2
漏洞类型:
利用条件:
1、用户认证:不需要用户认证
2、前置条件:未知
3、触发方式:远程
综合评价:
<综合评定利用难度>:未知。
<综合评定威胁等级>:高危,能造成多种影响。
官方解决方案:
已发布
漏洞分析
组件介绍
JSON5是一个JavaScript库,提供易于手动编写和维护的JSON解析和序列化支持,是JSON的超集,扩展了其语法。
JSON5主要作为Node.js的一个扩展包使用,已被Chromium、Next.js、Babel、Retool、WebStorm等大型项目采用,在MacOS和iOS等苹果平台上得到原生支持。
漏洞简介
2022年12月30日,深信服安全团队监测到一则JSON5组件存在类型混淆漏洞的信息,漏洞编号:CVE-2022-46175,漏洞威胁等级:高危。
该漏洞是由于JSON5库的“parse”方法在2.2.1及之前的版本,未正确限制名为“__proto__”的键的解析,从而允许特制的字符串混淆生成对象的原型。攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行类型混淆攻击,造成的后果可能包括拒绝服务、跨站脚本、权限提升等,在特殊场景下可能存在远程代码执行。
影响范围
JSON5是多种大型项目兼容的扩展包,可以运行在几乎所有计算机平台上,是一款较为流行的JSON解析和序列化软件包。可能受漏洞影响的资产广泛分布于世界各地。
目前受影响的JSON5版本:
JSON5 < 2.2.2
解决方案
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://json5.org/
打补丁/升级方法:
如果是利用npm安装和管理的,可执行以下命令更新当前json5 版本:
npm update json5
参考链接
https://github.com/json5/json5/security/advisories/GHSA-9c47-m6qq-7p4h
时间轴
2022/12/30
深信服监测到JSON5 Prototype混淆漏洞攻击信息。
2022/12/30
深信服千里目安全技术中心发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】JSON5 Prototype混淆漏洞 CVE-2022-46175
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论