下载量超1600万的热门开源 JavaScript 序列化包中被曝 RCE 漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
最近,热门的开源NPM 包 serialize-javascript 中被指存在一个漏洞,可使攻击者执行远程代码。
Serialize-javascript由雅虎开发并维护,是一款颇受欢迎的开源项目,用于将 JavaScript 序列化为 JSON 的超集,包括表达式、日期和函数。
5月20 日,Jordan Milne 和 Ryan Siebert 将该漏洞告知 GitHub,后者于上周通过 GitHub Advisory 数据库公布。该漏洞的编号是 CVE-2020-7660,可导致远程攻击者通过 deleteFunctions 函数将任意代码注入 index.js 中。
Serialize-javascript低于3.1.0的版本受影响。
PoC
Serialize-javascript是一款热门库,其下载量超过1600万次,有840个相关项目。
GitHub 在安全公告中指出,这个不安全的序列化问题将导致对象如 {"foo": /1"/, "bar":"a\"@__R-<UID>-0__@"} 序列化为 {"foo": /1"/, "bar":"a\/1"/},因此用户输入能够规避 bar 的键值。
因此,如果攻击者额能够控制“foo”和“bar”的值并猜测出 UID,那么就有可能执行 RCE。安全公告指出,该 UID 的密钥空间为40亿,因此利用是一个“现实的网络攻击”。
当 `serialize()`d版本是 `eval()`d时,如下 PoC 能够调用 console.log():
eval('('+ serialize({"foo": /1" + console.log(1)/i, "bar": '"@__R-<UID>-0__@'}) + ')');
该漏洞已在serialize-javascript 版本3.1.0 中修复,贡献人员已通过修改代码确保占位符前面没有反斜杠的方式修复该漏洞。
影响范围广
CVE-2020-7660 的CVSS 评分为8.1,“重要”范围内靠近“严重”的级别。
然而,Red Hat 在关于该漏洞的安全公告中指出,已将该漏洞的严重等级调整为“中危”,因为利用serialize-javascript 的应用程序必须能够控制通过它传递的 JSON 数据才能触发该漏洞。
Red Hat 指出,虽然Container NativeVirtualization 2 的受支持版本不受影响,但遗留版本包括2.0在内均受影响。
OpenShift ServiceMesh 1.0/1.1 (servicemesh-grafana) 的修复方案已发布,目前正在为 Red Hat OpenShiftContainer Platform 4 (openshift4/ose-prometheus) 准备补丁。
鉴于该数据包很热门,其它仓库也受影响,包括 Ruby on Rails 的Webpacker。
上周日,使用易受攻击的serialize-javascript 的稳定版本已修复。
目前,研究员 Milne 和 Siebert 尚未置评。
推荐阅读
下载量达数百万次的NodeJS 模块被曝代码注入漏洞
开源自动化服务器软件 Jenkins 被曝严重漏洞,可泄露敏感信息
开源框架 Apache Struts 2漏洞的 PoC 已公开
原文链接
https://portswigger.net/daily-swig/remote-code-execution-vulnerability-exposed-in-popular-javascript-serialization-package
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
下载量超1600万的热门开源 JavaScript 序列化包中被曝 RCE 漏洞相关推荐
- 攻击者接管账户,攻陷周下载量超700万次的JavaScript 流行库 ua-parser-js
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- PyPI 管理员删除已潜伏10个月且下载量超1万次的恶意包
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 PyPI 删除了部署恶意软件并窃取数据的三个软件包,它们的总下载量超过1万次.这三个恶意包通过typosquat合法包的名称诱骗用户. 01 & ...
- 下载量高达163万的易语言牛人写的一个超牛的软件(即将删除)
引自易语言论坛"毁人不倦"贴子(http://bbs.eyuyan.com/dispbbs.asp?boardid=124&id=180180): 在华军上突然发现一个下载 ...
- 周下载量过200万的npm包被注入恶意代码,Vue、Node项目恐受影响
今天上午,小编在Twitter上刷出了这条推文,再翻看国内一些论坛,开发者已经有所讨论,小编在这里给大家整理一下. 这篇推文及其附带的GitHub链接大体是说上周npm下载量超过200万的packag ...
- 互联网晚报 | 12月6日 星期一 | 荣耀线下门店超3万家;鸿蒙系统明年正式登陆欧洲;凯撒旅业与众信旅游终止合并...
今日看点 ✦ 华为:鸿蒙Harmony OS系统明年将正式登陆欧洲 ✦ 荣耀线下门店超3万家,线下销售占比超过70% ✦ 阿里达摩院成功研发存算一体AI芯片,突破冯·诺依曼架构性能瓶颈 ✦ 360:将 ...
- 购物兔下载量突破17万!
时间过得很快,都没有时间写日志了~ 2011-8-8号,购物兔下载量突破17万了,感谢大家的共同努力! 补回一贴以记之~ http://www.gouwutu.com
- 抖音下载量超 Facebook;华为新款手机陷“绿屏”门;苹果又遭起诉 | 极客头条...
「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有料的新闻资讯,让所有技术人,时刻紧跟业界潮流. 快讯速知 抖 ...
- 下载量和Vue一样大的开源软件被作者恶意破坏,数千款应用受到牵连
点击上方 前端Q,关注公众号 回复加群,加入前端Q技术交流群 转自InfoQ: 编译 | 核子可乐.Tina 开源的黑暗面:faker.js 到底发生了什么? 流行开源包"colors&qu ...
- 京东向上海提供超1600万件米面粮油等民生商品
4月10日消息,"京东将为上海提供超过1600万件米面粮油等民生商品,可保障上海京东用户近1个月日常供应."4月10日上午,在上海市疫情防控工作新闻发布会上,京东集团副总裁王文博就 ...
最新文章
- 屏幕元素属性的控制盒屏幕事件的中止
- 高可用集群技术之RHCS应用详解(一)
- Unity 2017 Game Optimization 读书笔记 Dynamic Graphics (4)
- php oracle 中文字段,怎么解决php oracle乱码问题
- 17.企业应用架构模式 --- 会话状态模式
- Service服务学习(SimpleRandomServiceDemo)
- 暴风影音 打开 avi 视频文件时 explorer 出错 关闭
- 100个Java实战项目视频+代码+笔记
- 新势力盯上了“新能源车险”
- ps html 优化,photoshop越用越卡的解决方法,ps性能优化教程
- mac安装虚拟机 centos7
- 常成员函数和静态成员函数
- Windows 2D 绘图 (GDI, GDI+, Direct2D)
- bzoj 5245: [Fjwc2018]欧拉函数 线段树+bitset
- Mac 下配置使用windows局域网共享打印机
- 计算机进入休眠状态如何唤醒,电脑进入睡眠状态怎么快速唤醒图文教程
- sqlmap用户手册
- 【Procmon教程1】Procmon介绍
- Boosting方法入门
- linux硬件时间与系统时间不同步,Linux系统时钟和硬件时钟不一致