Podatność typu Prototype Pollution w funkcji util-deps.addFileDepend pakietu magix-combine-ex w wersjach do 1.2.10 włącznie umożliwia atakującemu wstrzyknięcie właściwości do Object.prototype. Minimalna konsekwencja to atak DoS, jednak ze względu na charakter tej klasy podatności rzeczywiste skutki mogą być poważniejsze.
▸ Pokaż oryginał (EN)
A Prototype Pollution vulnerability in the util-deps.addFileDepend function of magix-combine-ex versions thru 1.2.10 allows attackers to inject properties on Object.prototype via supplying a crafted payload, causing denial of service (DoS) as the minimum consequence.
Atakujący dostarcza specjalnie spreparowany payload do funkcji util-deps.addFileDepend, która nie waliduje prawidłowo kluczy przekazywanych obiektów. W wyniku tego możliwe jest zmodyfikowanie globalnego prototypu JavaScript — Object.prototype — poprzez wstrzyknięcie do niego arbitralnych właściwości. Zanieczyszczony prototyp jest dziedziczony przez wszystkie obiekty w aplikacji, co może prowadzić do nieprzewidywalnego zachowania środowiska uruchomieniowego i awarii usługi (DoS). Publicznie dostępny kod PoC potwierdzający możliwość wykorzystania podatności znajduje się w referencjach.
Atakujący może doprowadzić do odmowy usługi (DoS) poprzez destabilizację środowiska JavaScript. W zależności od kontekstu aplikacji Prototype Pollution może również otworzyć drogę do eskalacji uprawnień lub zdalnego wykonania kodu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie możliwości przekazywania niezaufanych danych wejściowych do funkcji util-deps.addFileDepend.
Pakiet magix-combine-ex w wersjach do 1.2.10 włącznie (thru 1.2.10).
Publicznie dostępny kod PoC (Proof of Concept) demonstrujący wykorzystanie podatności został opublikowany przez VulnSageAgent w repozytorium GitHub wskazanym w referencjach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMagix Combine Ex Project Magix Combine Ex
APPMagix-Combine-Ex Project≤ 1.2.10