下载量超1600万的热门开源 JavaScript 序列化包中被曝 RCE 漏洞

最新推荐文章于 2023-11-29 08:30:00 发布
最新推荐文章于 2023-11-29 08:30:00 发布
阅读量600 收藏 3
点赞数 1
原文链接:https://codesafe.qianxin.com
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

最近,热门的开源NPM  serialize-javascript 中被指存在一个漏洞,可使攻击者执行远程代码。

Serialize-javascript由雅虎开发并维护,是一款颇受欢迎的开源项目,用于将 JavaScript 序列化为 JSON 的超集,包括表达式、日期和函数。

5月20 日,Jordan Milne 和 Ryan Siebert 将该漏洞告知 GitHub,后者于上周通过 GitHub Advisory 数据库公布。该漏洞的编号是 CVE-2020-7660,可导致远程攻击者通过 deleteFunctions 函数将任意代码注入 index.js 中。

Serialize-javascript低于3.1.0的版本受影响。

PoC

Serialize-javascript是一款热门库,其下载量超过1600万次,有840个相关项目。

GitHub 在安全公告中指出,这个不安全的序列化问题将导致对象如  {"foo": /1"/, "bar":"a\"@__R-<UID>-0__@"} 序列化为  {"foo": /1"/, "bar":"a\/1"/},因此用户输入能够规避 bar 的键值。

因此,如果攻击者额能够控制“foo”和“bar”的值并猜测出 UID,那么就有可能执行 RCE。安全公告指出,该 UID 的密钥空间为40亿,因此利用是一个“现实的网络攻击”。

当 `serialize()`d版本是 `eval()`d时,如下 PoC 能够调用 console.log():

eval('('+ serialize({"foo": /1" + console.log(1)/i, "bar": '"@__R-<UID>-0__@'}) + ')');

该漏洞已在serialize-javascript 版本3.1.0 中修复,贡献人员已通过修改代码确保占位符前面没有反斜杠的方式修复该漏洞。

影响范围广

CVE-2020-7660 的CVSS 评分为8.1,“重要”范围内靠近“严重”的级别。

然而,Red Hat 在关于该漏洞的安全公告中指出,已将该漏洞的严重等级调整为“中危”,因为利用serialize-javascript 的应用程序必须能够控制通过它传递的 JSON 数据才能触发该漏洞。

Red Hat 指出,虽然Container NativeVirtualization 2 的受支持版本不受影响,但遗留版本包括2.0在内均受影响。

OpenShift ServiceMesh 1.0/1.1 (servicemesh-grafana) 的修复方案已发布,目前正在为 Red Hat OpenShiftContainer Platform 4 (openshift4/ose-prometheus) 准备补丁。

鉴于该数据包很热门,其它仓库也受影响,包括 Ruby on Rails 的Webpacker。

上周日,使用易受攻击的serialize-javascript 的稳定版本已修复。

目前,研究员 Milne 和 Siebert 尚未置评。

 

推荐阅读

下载量达数百万次的NodeJS 模块被曝代码注入漏洞

开源自动化服务器软件 Jenkins 被曝严重漏洞,可泄露敏感信息

开源框架 Apache Struts 2漏洞的 PoC 已公开

原文链接

https://portswigger.net/daily-swig/remote-code-execution-vulnerability-exposed-in-popular-javascript-serialization-package

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 吧~

奇安信代码卫士
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
serialize-javascript:将JavaScript序列化为JSON的集,其中包括正则表达式和函数
02-03
序列化JavaScriptJavaScript序列化为JSON的集,其中包括正则表达式,日期和函数。 总览 该程序包中的代码开始作为的内部模块开始使用。 为了扩大其用途,它现在用作serialize-javascript -npm上的独立软件包。 您可能想知道: JSON.stringify()呢? 我们发现,有时我们需要序列化JavaScript函数,正则表达式,日期,集合或地图。 一个很好的例子是一个使用客户端URL路由的Web应用程序,其中路由定义是正则表达式,需要从服务器共享到客户端。 但是此模块对于节点进程之间的通信也非常有用。 从该包的单个导出函数返回的字符串是文字JavaScript,可以将其保存为.js文件,也可以通过使[removed]元素的内容嵌入到HTML文档中。 HTML字符和JavaScript行终止符会自动转义。 请注意,对ES6集和地图进行序列化需要支持Array.from (在IE或Node <0.12中不可用)或Array.from 。 安装 使用npm安装: $ npm install serialize-javascript 用法
Serialize-javascript.zip
07-19
Serialize-javascript 能够序列化 JavaScript 库成含有正则表达式和功能的 JSON 包。示例:var serialize = require('serialize-javascript'); serialize({     str  : 'string',     num  : 0,     obj  : {foo: 'foo'},     arr  : [1, 2, 3],     bool : true,     nil  : null,     undef: undefined,     fn: function echo(arg) { return arg; },     re: /([^\s] )/g }); 标签:Serialize 分享 window._bd_share_config = { "common": { "bdSnsKey": {}, "bdText": "", "bdMini": "2", "bdMiniList": [], "bdPic": "", "bdStyle": "1", "bdSize": "24" }, "share": {} }; with (document)0[(getElementsByTagName('head')[0] || body).appendChild(createElement('script')).src = 'http://bdimg.share.baidu.com/static/api/js/share.js?v=89860593.js?cdnversion=' ~(-new Date() / 36e5)];\r\n \r\n \r\n \r\n \r\n \u8f6f\u4ef6\u9996\u9875\r\n \u8f6f\u4ef6\u4e0b\u8f7d\r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\n \r\nwindow.changyan.api.config({\r\nappid: 'cysXjLKDf', conf: 'prod_33c27aefa42004c9b2c12a759c851039' });
java serialize_serialize-javascript
weixin_35370061的博客
03-06 621
Serialize JavaScriptSerialize JavaScript to a superset of JSON that includes regular expressions, dates and functions.OverviewThe code in this package began its life as an internal module to express-s...
[转]JavaScript 版本的 PHP serialize/unserialize 完整实现
heiyeluren的blog(黑夜路人的开源世界)
06-07 6427
本文来自于:http://www.coolcode.cn/?p=171作者:Ma Bingyao以前写 PHPRPC 实现时,JavaScript 版本的序列化实现是修改自 http://www.devpro.it/code/102.html 的,这个实现虽然目前仍然在更新,不过它并没有完全实现 PHP 序列化的所有标记,因此它无法序列化复杂对象,例如嵌套对象,也无法反序列化所有的 PHP 序
fastjson 1.2.47 RCE漏洞保姆级复现
ALLEN'Blog
02-01 1253
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson。
.NET高级代码审计(第四课) JavaScriptSerializer反序列化漏洞
ahhacker86的专栏
11-29 997
JavaScriptSerializer凭借微软自身提供的优势,在实际开发中使用率还是比较高的,只要没有使用类型解析器或者将类型解析器配置为白名单中的有效类型就可以防止反序列化攻击(默认就是安全的序列化器),对于攻击者来说实际场景下估计利用概率不算高,毕竟很多开发者不会使用SimpleTypeResolver类去处理数据。最后.NET反序列化系列课程笔者会同步到前言 - .NET高级代码审计,后续笔者将陆续推出高质量的.NET反序列化漏洞文章,欢迎大伙持续关注,更多的.NET安全和技巧可关注实验室星球交流。
JS serialize() 方法,对表单进行序列化操作
qq_46104221的博客
02-17 754
通过使用这个方法,表单的数据会已aminName=11&adminPassword=aajson格式进行传递。这样在控制层获取是可以直接Admin admin,得到全部的信息,十分方便。
JavaScript serialize用法
JOBGONG的博客
10-26 680
var str = $( "form" ).serialize(); 表单样式: 数据格式: single=Single2&multiple=Multiple2&check=check2&radio=radio1
[Node] Node.js JavaScrpt模块化开发
CoderHing的博客~
10-15 2619
[Node] Node.js JavaScrpt模块化开发模块化开发最终的目的是将程序划分成一个个小的结构;这个结构中编写属于。
webpack、sass-loader、npm audit fix、npm audit fix --force兼容性问题
DDJ_TEST的博客
01-12 5619
npm ERR! Found: [email protected] npm ERR! node_modules/webpack npm ERR! webpack@"^3.6.0" from the root project npm ERR! Could not resolve dependency: npm ERR! peer webpack@"^4.36.0 || ^5.0.0" from [email protected] npm ERR! node_modules/sass-loader
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
xalanjava源码-jackspoilt:导致RCE的上下文反序列化漏洞-远程代码执行
06-05
数据绑定反序列化漏洞 应用环境 基于Spark框架的微服务() 取决于 com.fasterxml.jackson.core:jackson-databind:2.8.8 夏兰:夏兰:2.7.2 不安全的反序列化(多态类型) 不可信输入接受 目录结构 src/... : 描述反...
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
向日葵RCE漏洞一键批量自己检测工具
02-25
测试自己向日葵是否存在RCE漏洞
ThinkPHP3.2.x RCE漏洞通报1
08-03
3.寻找程序上传,上传件 1.功能代码中的assign法中第个变量为可控变量: 3.赋值结束后进display法中,display法开始解析并获取模板件内容,此
钢筋混凝土污水池及提升泵站施工方案.doc
05-03
课程设计污水处理
PHP基于Web的subversion用户管理系统(源代码+设计说明书).zip
05-03
PHP基于Web的subversion用户管理系统(源代码+设计说明书).zip
node-v12.22.10-linux-armv7l.tar.xz
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
The Experiment 3 of Engineering Electromagnetics.pdf
最新发布
05-03
The Experiment 3 of Engineering Electromagnetics.pdf
序列化 RCE 漏洞
06-09
序列化RCE漏洞是一种常见的安全漏洞,发生在Java、Python等语言中的反序列化过程中。攻击者利用该漏洞,可以在受害者系统上执行任意命令,从而实现对系统的完全控制。 该漏洞的原理是,攻击者在序列化对象时,通过精心构造的恶意数据,将一段可执行代码序列化到对象中。当该对象被反序列化时,攻击者的恶意代码就会被执行,从而导致系统被攻击者掌控。 为了避免反序列化RCE漏洞的发生,开发者应该注意以下几点: 1. 对于不受信任的数据,不要直接进行反序列化操作,可以使用JSON等其他格式进行传输。 2. 对于需要进行反序列化操作的数据,应该进行严格的验证和过滤,防止恶意数据的注入。 3. 在反序列化过程中,可以对反序列化的类进行限制,只允许反序列化指定的类。 4. 及时更新相关的依赖库,以修复已知的反序列化RCE漏洞。 总之,反序列化RCE漏洞是一种非常危险的漏洞,开发者和用户都需要注意防范和修复。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值