如何获取veracode漏洞报告的详细信息?
我是Ramda这个流行JS库的维护者,我们最近收到了一份报告, 指出该库存在原型污染漏洞。这个问题被追溯到veracode报告, 其中指出:
ramda存在原型污染漏洞。攻击者可以通过
_curry2
函数将属性注入到现有构造函数原型中,并修改__proto__
、constructor
和prototype
等属性。
我理解他们所谈论的原型污染问题。一个很好的解释在snyk对lodash.merge
的说明中。 Ramda的设计与其不同,显然类似的Ramda代码不会受到此类漏洞的影响。但这并不意味着Ramda的所有部分都不受其影响。但报告中没有详细信息、没有代码片段,也没有任何方式来质疑他们的发现。
他们描述的细节明显是错误的。_curry2
不可能存在这个问题。但由于该函数用作许多其他函数的包装器,因此记者的误解可能隐藏了真正的漏洞。
有没有办法获取此错误报告的详细信息?有展示问题的代码片段吗?还是别的什么?我已经填写了他们的联系表格。答案可能仍在路上,因为只是24小时前,但我并不抱太大希望 - 它似乎主要是一个销售表格。我所做的所有搜索都是关于如何使用他们的安全工具的信息,几乎找不到任何关于如何创建他们的自定义报告的信息。我也无法在CVE数据库中找到这个问题。
Object.prototype
。该示例仅显示您可以更改特定现有对象的原型。我认为这通常并不是原型污染所指的......不过也许你能证明我错了呢? - Scott Sauyet