CRITICAL🇬🇧 English

CVE-2024-38999

Prototype pollution w RequireJS v2.3.6 — RCE i DoS

CVSS 10.0v3.1pub. 2024-07-01upd. 2026-04-15

W bibliotece RequireJS w wersji 2.3.6 odkryto podatność typu prototype pollution w funkcji s.contexts._.configure, umożliwiającą wykonanie dowolnego kodu lub wywołanie odmowy usługi. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją wyjątkowo krytyczną.

Pokaż oryginał (EN)

jrburke requirejs v2.3.6 was discovered to contain a prototype pollution via the function s.contexts._.configure. This vulnerability allows attackers to execute arbitrary code or cause a Denial of Service (DoS) via injecting arbitrary properties.

🤖 Analiza AI
Jak działa

Atakujący może wstrzyknąć dowolne właściwości do prototypu obiektu JavaScript poprzez funkcję s.contexts._.configure. Prototype pollution polega na modyfikacji globalnego prototypu Object.prototype, co wpływa na zachowanie wszystkich obiektów w aplikacji. Poprzez odpowiednio spreparowane dane wejściowe atakujący może doprowadzić do wykonania arbitralnego kodu (RCE) lub spowodować awarię aplikacji (DoS). Podatność jest możliwa do wykorzystania zdalnie, bez uwierzytelnienia i bez interakcji użytkownika.

Skutki

Atakujący może wykonać dowolny kod po stronie serwera lub aplikacji klienckiej korzystającej z podatnej biblioteki, a także całkowicie uniemożliwić jej działanie poprzez wywołanie Denial of Service.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się jak najszybszą aktualizację biblioteki RequireJS do wersji wyższej niż 2.3.6 oraz weryfikację wszystkich zależności projektu korzystających z tej biblioteki.

Kogo dotyczy

jrburke RequireJS w wersji 2.3.6

Uwagi

Szczegółowe informacje techniczne dotyczące podatności zostały opublikowane w formie publicznego gist przez użytkownika mestrtee, co może ułatwić opracowanie exploitu. Wektor ataku jest w pełni sieciowy, bez wymagań uwierzytelnienia (PR:N, UI:N), a zakres podatności jest rozszerzony (S:C), co uzasadnia maksymalny wynik CVSS 10.0.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDoS
CWE
Referencje