- A vulnerabilidade afeta todas as versões do Lodash, incluindo a última versão 4.7.11.
- Lodash, uma popular biblioteca npm, é afetada por uma falha de segurança de alta severidade chamada Prototype Pollution. A biblioteca Lodash é usada por mais de 4 milhões de projetos apenas no GitHub.
Qual é o problema?
Liran Tal, um defensor dos desenvolvedores da plataforma de segurança de código aberto Snyk, publicou recentemente uma prova de conceito sobre como a falha de alta severidade afeta a biblioteca de Lodash. A vulnerabilidade, rastreada como CVE-2019-10744, pode ser explorada por hackers para comprometer a segurança dos serviços afetados usando a biblioteca.
A vulnerabilidade afeta todas as versões do Lodash, incluindo a última versão 4.7.11.
A notícia vem logo depois de três meses desde a descoberta de vulnerabilidades na popular biblioteca de frontend jQuery JavaScript.
Qual é a vulnerabilidade?
Prototype Pollution é uma falha de segurança que permite que invasores modifiquem o protótipo de objeto JavaScript de um aplicativo da Web. Isso pode causar a falha do aplicativo ou alterar seu comportamento se ele não receber os valores esperados.
Devido à difusão do JavaScript, a exploração da falha da Prototype Pollution pode ter consequências graves em aplicações web.
Como a falha pode ser explorada?
Tal descobriu que a função "defaultsDeep" implementada na biblioteca Lodash poderia ser manipulada para adicionar ou modificar propriedades de "Object.prototype" usando uma carga útil "constructor". Isso pode forçar o aplicativo da Web a travar.
Existe alguma solução?
De acordo com Tal, o problema pode ser resolvido não poluindo o objeto global com base em uma chave configurada como carga útil de "construtor".
