「Prototype Pollution」は、プロトタイプにプロパティを注入できるJavaScriptライブラリで、アプリ内のすべてのオブジェクトに影響を与えます。
攻撃者は任意のJavaScriptライブラリを悪用し、任意のプロパティのみを使用したプロトタイプを作成できます。
これは、DOM操作やアクセスチェックなど、汚染されたプロパティを使用するコードに対して「プロトタイプ汚染」(prototype pollution)と呼ばれる脆弱性を露呈します。
「JSONオブジェクトのみを扱う管理者になるまでは、私は管理者ではありませんでした」と、あるセキュリティ研究者は書いています。
コメント