underscore-keypath原型污染漏洞（CVE-2023-26139）-信息中心

当前位置: 部门首页 >> 网络安全 >> 正文

underscore-keypath原型污染漏洞（CVE-2023-26139）

日期： 2023-11-13 作者： nsfocus 点击数:

发布日期：2023-08-01

更新日期：2023-11-13

受影响系统：

underscore-keypath underscore-keypath >= 0.0.11

描述：

CVE(CAN) ID: CVE-2023-26139

underscore-keypath是JavaScript库，用于处理对象的键路径操作，提供了一组简单且灵活的方法，用于处理复杂的对象结构，实现在嵌套对象中获取和设置属性的值。

underscore-keypath 0.0.11及之后版本的setProperty()函数的“name”参数存在原型污染漏洞，该漏洞源于程序未对输入进行正确过滤，攻击者可利用该漏洞修改对象属性。

< **>

建议：

厂商补丁：

underscore-keypath

------------------

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

浏览次数：11

严重程度：0（网友投票）