آسیبپذیری CVE-2025-13158 با شدت 9.3 یک نقص امنیتی از نوع Prototype Pollution در کتابخانه apidoc-core است که از نسخه 0.2.0 به بعد وجود دارد. این مشکل زمانی رخ میدهد که دادههای ورودی مخرب، بدون اعتبارسنجی مناسب، در توابع preProcess() پردازش میشوند و امکان دستکاری زنجیره پروتوتایپ اشیای جاوااسکریپت را فراهم میکنند. مهاجم میتواند با ارسال ساختارهای داده دستکاریشده، رفتار داخلی برنامه را تغییر دهد یا منجر به بروز خطاهای غیرمنتظره شود. این نقص میتواند باعث اختلال در سرویس (DoS) یا تغییر منطق برنامههایی شود که به صحت پروتوتایپها وابسته هستند. چندین ماژول از جمله api_group.js، api_param_title.js، api_use.js و api_permission.js تحت تأثیر این مشکل قرار دارند. بهرهبرداری از این آسیبپذیری میتواند پایداری و امنیت برنامههای وابسته به apidoc-core را بهطور جدی تهدید کند
- کتابخانه Node.js: apidoc-core
- نسخههای آسیبپذیر:
- تمام نسخهها از 0.2.0 به بعد تا قبل از انتشار پچ رسمی
- ماژولهای در معرض خطر در apidoc-core:
- api_group.js
- api_param_title.js
- api_use.js
- api_permission.js
- برنامههای وابسته به apidoc-core که از توابع preProcess() استفاده میکنند و در معرض خطر prototype pollution هستند
- بهروزرسانی فوری به آخرین نسخهی apidoc-core که مشکل را رفع کرده است.
- بررسی و اعمال اعتبارسنجی/سیاست sanitization روی دادههای ورودی به توابع پیشپردازش.
- استفاده از ابزارهای اسکن امنیتی (مثل npm audit, Snyk, SonarQube) برای کشف زنجیرههای وابستگی آسیبپذیر.
- بررسی و بهروزرسانی هر پکیج یا ماژول وابسته که ممکن است apidoc-core را مستقیماً یا غیرمستقیم مصرف کند.
- محدود کردن دسترسی به ورودیهایی که منجر به prototype manipulation میشوند (مثلاً حذف propertyهای غیرمجاز).
- فعالسازی سیستمهای مانیتورینگ خطا و بررسی رفتار غیرمنتظره برنامه (مانند خطاهای پردازش داده).
- در موارد استفاده در محیطهای تولید، اعمال WAF/Runtime Protection برای جلوگیری از دادههای غیرمجاز در HTTP request.
- 28