JSON5 Prototype混淆漏洞 CVE-2022-46175
- CNNVD编号:未知
- 危害等级: 高危
- CVE编号:CVE-2022-46175
- 漏洞类型: 类型混淆
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2023-03-17
- 更新时间:2023-03-17
漏洞简介
2022年12月30日,深信服安全团队监测到一则JSON5组件存在类型混淆漏洞的信息,漏洞编号:CVE-2022-46175,漏洞威胁等级:高危。
该漏洞是由于JSON5库的“parse”方法在2.2.1及之前的版本,未正确限制名为“__proto__”的键的解析,从而允许特制的字符串混淆生成对象的原型。攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行类型混淆攻击,造成的后果可能包括拒绝服务、跨站脚本、权限提升等,在特殊场景下可能存在远程代码执行。
漏洞公示
暂无
参考网站
https://github.com/json5/json5/security/advisories/GHSA-9c47-m6qq-7p4h
受影响实体
JSON5是多种大型项目兼容的扩展包,可以运行在几乎所有计算机平台上,是一款较为流行的JSON解析和序列化软件包。可能受漏洞影响的资产广泛分布于世界各地。
目前受影响的JSON5版本:
JSON5 < 2.2.2
补丁
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://json5.org/
打补丁/升级方法:
如果是利用npm安装和管理的,可执行以下命令更新当前json5 版本:
npm update json5
