一、 漏洞 CVE-2023-45827 基础信息
漏洞标题
@clickbar/dot-diver中的原型污染漏洞
来源:AIGC 神龙大模型
漏洞描述信息
## 漏洞概述 Dot diver 是一个轻量级、强大的 TypeScript 实用库,提供了处理点表示法对象路径的类型和函数。在 1.0.2 之前的版本中,`setByPath` 函数存在原型污染漏洞,可能导致远程代码执行 (RCE)。 ## 影响版本 - 所有低于 1.0.2 的版本 ## 漏洞细节 `setByPath` 函数中的原型污染漏洞可能导致攻击者通过修改对象原型来执行任意代码。此问题已在 commit `98daf567` 中修复,并包含在 1.0.2 版本中。 ## 影响 此漏洞可能导致远程代码执行,严重威胁系统安全。建议用户尽快升级到 1.0.2 或更高版本。目前没有已知的工作绕过方法。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
CWE-1321
来源:AIGC 神龙大模型
漏洞标题
Prototype Pollution vulnerability in @clickbar/dot-diver
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Dot diver is a lightweight, powerful, and dependency-free TypeScript utility library that provides types and functions to work with object paths in dot notation. In versions prior to 1.0.2 there is a Prototype Pollution vulnerability in the `setByPath` function which can leads to remote code execution (RCE). This issue has been addressed in commit `98daf567` which has been included in release 1.0.2. Users are advised to upgrade. There are no known workarounds to this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Dot diver 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Dot diver是一个轻量级、功能强大且无依赖的 TypeScript 实用程序库,提供用于处理点表示法中的对象路径的类型和函数。 Dot diver 1.0.2之前版本存在安全漏洞。攻击者利用该漏洞可以远程执行代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-45827 的公开POC
# POC 描述 源链接 神龙链接
1 pp https://github.com/200101WhoAmI/CVE-2023-45827 POC详情
三、漏洞 CVE-2023-45827 的情报信息