原型链污染漏洞CVE:
1、yargs-Parser 输入验证错误漏洞(CVE-2020-7608)
2、tough-cookie 安全漏洞(CVE-2023-26136)
3、JSON5 原型污染漏洞(CVE-2022-46175)
漏洞描述:
1、yargs-Parser 输入验证错误漏洞(CVE-2020-7608):
yargs-parser是一款选项解析器。
yargs-parser 13.1.2之前版本、14.0.0及之后版本(15.0.1版本已修复)和16.0.0及之后版本(18.1.1版本已修复)中存在安全漏洞。
攻击者可借助'proto'的payload,利用该漏洞添加或修改Object.prototype属性。
2、tough-cookie 安全漏洞(CVE-2023-26136):
在 rejectPublicSuffixes=false 模式下使用 CookieJar 时,由于未正确处理 Cookie,4.1.3 之前的软件包 tough-cookie 版本容易受到原型污染的影响。
