validation library یک کتابخانه جاوااسکریپت برای اعتبارسنجی است. به تازگی یک آسیبپذیری با شناسه CVE-2024-32866 و شدت بالا (8.6) در این کتابخانه کشف و شناسایی شده است. این آسیبپذیری به دلیل پیکربندی نادرست "object.property" رخ داده است و مهاجمان با بهرهبرداری از این نقص میتوانند با ارسال ورودی جعلی به توابع "parseWith"، آسیبپذیری "Prototype Pollution" را پیادهسازی کنند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H بهرهبرداری از آنها از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است و به شرایط خاصی نیاز نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل کاربر نیاز ندارند (UL:N)، بهرهبرداری از آسیبپذیریهای مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و یک ضلع از سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرد (C:L/I:L/A:H).
محصولات تحت تأثیر
این آسیبپذیری نسخههای قبل از 1.1.1 کتابخانه مذکور را تحت تأثیر قرار میدهد.
توصیههای امنیتی
به کاربران توصیه میشود validation library را به نسخه 1.1.1 بهروزرسانی کنند.
منبع خبر:
- 40