Prototype Pollution in convict 漏洞信息(CVE-2023-0163)

一、漏洞 CVE-2023-0163 基础信息

漏洞标题

convict存在原型污染漏洞

来源：AIGC 神龙大模型

漏洞描述信息

Mozilla Convict 存在对象原型属性控制不当修改（'原型污染'）漏洞。这允许攻击者注入在其他组件中使用的属性，或者用类型不兼容的属性覆盖现有属性，可能导致系统崩溃。 Convict 的主要用例是处理由服务器所有者管理员编写的服务器端配置，而不是随机用户。因此，管理员故意破坏自己服务器的可能性不大。然而，仍可能存在管理员对 JavaScript 不熟悉，被攻击者诱导将恶意 JavaScript 代码写入某些配置文件的情况。此问题影响 Convict 版本：6.2.4 之前的版本。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

CWE-1321

来源：AIGC 神龙大模型

漏洞标题

Prototype Pollution in convict

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') vulnerability in Mozilla Convict. This allows an attacker to inject attributes that are used in other components, or to override existing attributes with ones that have incompatible type, which may lead to a crash. The main use case of Convict is for handling server-side configurations written by the admins owning the servers, and not random users. So it's unlikely that an admin would deliberately sabotage their own server. Still, a situation can happen where an admin not knowledgeable about JavaScript could be tricked by an attacker into writing the malicious JavaScript code into some config files. This issue affects Convict: before 6.2.4.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

编号已被CVE保留

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

暂无详细信息。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

授权问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2023-0163 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2023-0163 的情报信息

标题： Bug - Prototype Pollution on .set() · Issue #410 · mozilla/node-convict · GitHub -- 🔗来源链接

标签： issue-tracking
神龙速读
标题： Prototype Pollution in convict · Advisory · mozilla/node-convict · GitHub -- 🔗来源链接

标签： vendor-advisory
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2023-0163

一、 漏洞 CVE-2023-0163 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2023-0163 的公开POC

三、漏洞 CVE-2023-0163 的情报信息

一、漏洞 CVE-2023-0163 基础信息