CRITICAL🇬🇧 English

CVE-2024-24292

Prototype Pollution RCE w Aliconnect SDK v.0.0.6 (funkcja aim)

CVSS 9.8v3.1pub. 2025-03-28upd. 2025-04-17

Podatność typu Prototype Pollution w bibliotece Aliconnect SDK w wersji 0.0.6 umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Krytyczny poziom CVSS 9.8 wynika z braku wymagań co do autoryzacji oraz możliwości pełnego przejęcia kontroli nad systemem.

Pokaż oryginał (EN)

A Prototype Pollution issue in Aliconnect /sdk v.0.0.6 allows an attacker to execute arbitrary code via the aim function in the aim.js component.

🤖 Analiza AI
Jak działa

Podatność (CWE-1321) polega na możliwości modyfikacji prototypu wbudowanych obiektów JavaScript przez nieoczyszczone dane wejściowe. Atakujący może dostarczyć spreparowany obiekt zawierający właściwości takie jak '__proto__', które zostaną scalone z globalnym prototypem Object. W przypadku Aliconnect SDK podatny jest komponent aim.js — konkretnie funkcja aim() — która przetwarza dane wejściowe bez odpowiedniej walidacji, co prowadzi do zatrucia prototypu i wykonania dowolnego kodu.

Skutki

Atakujący może wykonać dowolny kod po stronie serwera (RCE), co w efekcie może prowadzić do pełnego naruszenia poufności, integralności i dostępności systemu — w tym przejęcia kontroli nad aplikacją i środowiskiem jej działania.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wydania poprawki zaleca się unikanie użycia funkcji aim() z niezaufanymi danymi wejściowymi, wdrożenie walidacji i sanityzacji danych wejściowych oraz rozważenie zastosowania Object.freeze(Object.prototype) jako tymczasowego obejścia.

Kogo dotyczy

Aliconnect Software Development Kit (pakiet /sdk) w wersji 0.0.6

Uwagi

Dostępny jest publiczny proof-of-concept opublikowany na GitHub Gist (autor: tariqhawis), co zwiększa realne ryzyko eksploatacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Aliconnect Software Development Kit

    APP
    Aliconnect
    0.0.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje
CVE-2024-24292 — Prototype Pollution RCE w Aliconnect SDK v.0.0.6 (funkcja aim) — CRITICAL 9.8 | CVEbaza.pl