Lodash库原型污染漏洞（CVE-2019-10744）

宣布时间 2019-07-12

配景描述

Lodash 是一个 JavaScript 库，包罗简化字符串、数字、数组、函数和工具编程的工具，可以资助法式员更有效地编写和维护 JavaScript 代码。而且是一个流行的 npm 库，仅在GitHub 上就有凌驾 400 万个项目使用，Lodash的普及率非常高，每月的下载量凌驾 8000 万次。近期被爆出一个严重的原型污染漏洞。

漏洞列表

CVE ID ： CVE-2019-10744
漏洞品级：高危
CVSS评分： 7.3
影响范围： 4.17.11之前的所有版本

漏洞详情

通过结构函数重载的方式，Lodash 库中的函数 defaultsDeep 很有可能会被欺骗添加或修改 Object.prototype 的属性，最终可能导致 Web 应用法式崩�；蚋谋淦湫形�，具体取决于受影响的用例。

Pony by Snyk

东森·(中国区)官方网站

原型污染是一个影响 JavaScript 的漏洞。原型污染是指将属性注入现有 JavaScript 语言结构原型（如工具）的能力。JavaScript 允许所有工具属性被更改，例如如_proto_，constructor和prototype。攻击者通过注入其它值来利用这些属性来笼罩或污染基础工具的 JavaScript 应用法式工具原型。这样很可能会影响应用法式通过原型链处置 JavaScript 工具的过程，从而导致拒绝服务或远程代码执行。

原型污染的两种主要方式：

不宁静的Object递归合并

按路径界说属性

不宁静的工具递归合并

易受攻击的递归合并函数的逻辑遵循以下高级模型：

当源工具包罗名为_proto_defined with Object.defineProperty()的属性时，检查属性是否存在而且是目标和源通报上的工具的条件，而且合并将与目标进行递归，作为原型Object和源的Object界说。

然后攻击者在 Object 原型上复制属性。

克隆操作是一个特殊的不宁静递归合并子类，它发生在对空工具进行递归合并时：merge({},source)。

lodash 和 Hoek 是易受递归合并攻击影响。

按路径界说属性

有一些 JavaScript 库使用 API 凭据给定路径界说工具的属性值。通常受影响的函数包罗此签名：theFunction(object, path, value)

如果攻击者可以控制“路径”的值，则可以将此值设置为_proto_.myValue。

防范措施

冻结 Object.prototype ，使原型不能扩充属性

建立 JSON schema

规避不宁静的递归性合并函数

使用无原型工具，打破原型链并防止污染。

接纳新的 Map 数据类型，取代 Object 类型

虽然原型污染漏洞影响非常严重，但是攻击者想要利用它并没有那么容易，他们需要深入了解每个 Web 应用的事情原理。

修复建议

建议升级lodash到4.17.12

参考链接

https://snyk.io/blog/snyk-research-team-discovers-severe-prototype-pollution-security-vulnerabilities-affecting-all-versions-of-lodash/
https://snyk.io/vuln/SNYK-JS-LODASH-450202
https://snyk.io/blog/snyk-research-team-discovers-severe-prototype-pollution-security-vulnerabilities-affecting-all-versions-of-lodash/
https://snyk-rules-pre-repository.s3.amazonaws.com/snapshots/master/patches/npm/lodash/20190702/lodash_20190702_0_0_1f8ea07746963a535385a5befc19fa687a627d2b.patch

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

Lodash库原型污染漏洞（CVE-2019-10744）

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线