警惕 apidoc-core 原型污染漏洞 (CVE-2025-13158)

apidoc-core 0.2.0至0.15.0版本存在一个严重的原型污染漏洞。攻击者可构造恶意数据结构,通过“define”属性污染JavaScript对象原型,可能导致拒绝服务或影响依赖原型链完整性的应用程序行为。

漏洞详情

包管理器: npm 受影响的包: apidoc-core 受影响版本: >= 0.2.0, <= 0.15.0 已修复版本:严重等级: 严重 (CVSS 评分:9.3)

描述

apidoc-core 0.2.0及后续所有版本中存在原型污染漏洞。远程攻击者能够通过恶意构造的数据结构(包括应用程序处理的“define”属性)修改JavaScript对象原型。这可能导致拒绝服务,或影响那些依赖原型链完整性的应用程序的预期行为。该漏洞影响了 api_group.jsapi_param_title.jsapi_use.jsapi_permission.js 工作模块中的 preProcess() 函数。

参考资料

CVSS 4.0 指标

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

可利用性指标

  • 攻击向量 (AV): 网络 (N)
  • 攻击复杂度 (AC): 低 (L)
  • 攻击前提 (AT): 无 (N)
  • 所需权限 (PR): 无 (N)
  • 用户交互 (UI): 无 (N)

受影响系统影响指标

  • 保密性影响 (VC): 高 (H)
  • 完整性影响 (VI): 高 (H)
  • 可用性影响 (VA): 高 (H)

后续系统影响指标

  • 保密性影响 (SC): 无 (N)
  • 完整性影响 (SI): 无 (N)
  • 可用性影响 (SA): 无 (N)

EPSS 分数

0.186% (第41百分位) 此分数估计了该漏洞在未来30天内被利用的概率。

弱点

CWE-1321: 对象原型属性控制不当的修改(‘原型污染’) 该产品从上游组件接收指定了要初始化或更新对象属性的输入,但未能适当控制对对象原型属性的修改。

标识符

  • CVE ID: CVE-2025-13158
  • GHSA ID: GHSA-6vj3-p34w-xxjp

源代码

  • apidoc/apidoc-core (GitHub)
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次