CRITICAL🇬🇧 English

CVE-2025-61140

Prototype Pollution w bibliotece Dchester Jsonpath 1.1.1

CVSS 9.8v3.1pub. 2026-01-28upd. 2026-06-30

Biblioteka Dchester Jsonpath w wersji 1.1.1 zawiera podatność typu Prototype Pollution w funkcji value() w pliku lib/index.js. Podatność posiada ocenę CVSS 9.8 (CRITICAL) i umożliwia zdalny atak bez uwierzytelnienia.

Pokaż oryginał (EN)

The value function in jsonpath 1.1.1 lib/index.js is vulnerable to Prototype Pollution.

🤖 Analiza AI
Jak działa

Prototype Pollution (CWE-1321) polega na możliwości modyfikacji przez atakującego prototypu bazowego obiektu JavaScript (Object.prototype) poprzez przekazanie spreparowanych danych wejściowych do podatnej funkcji. W tym przypadku funkcja value() w pliku lib/index.js nie waliduje prawidłowo kluczy przetwarzanych wyrażeń JSONPath, co pozwala na wstrzyknięcie właściwości takich jak '__proto__', 'constructor' lub 'prototype'. Zainfekowane właściwości zostają odziedziczone przez wszystkie obiekty w aplikacji, wpływając na jej działanie.

Skutki

Atakujący może zmodyfikować zachowanie aplikacji Node.js poprzez nadpisanie globalnych właściwości obiektów JavaScript, co w konsekwencji może prowadzić do nieautoryzowanego ujawnienia danych, naruszenia integralności aplikacji, a w pewnych scenariuszach nawet do zdalnego wykonania kodu (RCE) lub odmowy dostępu (DoS).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się monitorowanie repozytorium https://github.com/dchester/jsonpath w celu uzyskania zaktualizowanej wersji biblioteki. Jako obejście tymczasowe należy walidować i sanityzować dane wejściowe przekazywane do funkcji value() oraz rozważyć użycie alternatywnych bibliotek JSONPath.

Kogo dotyczy

Biblioteka Dchester Jsonpath w wersji 1.1.1 (plik lib/index.js, funkcja value()). Dotyczy aplikacji Node.js korzystających z tej biblioteki.

Uwagi

Publiczny proof-of-concept jest dostępny pod adresem https://gist.github.com/Dremig/8105c189774217222a8ebea3ed4d341d, co zwiększa ryzyko exploitacji w środowiskach produkcyjnych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dchester Jsonpath

    APP
    Dchester
    1.1.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Deserialization
CWE
Referencje