未修补的原型污染缺陷会影响流行Lodash库的所有版本

Lodash是一个JavaScript库，包含简化字符串、数字、数组、函数和对象编程的工具，帮助程序员更高效地编写和维护JavaScript代码。

Liran Tal, a developer advocate at open-source security platform Snyk, recently published details and proof-of-concept exploit of a high-severity prototype pollution security vulnerability that affects all versions of lodash, including the latest version 4.17.11.

该漏洞被命名为CVE-2019-10744，由于lodash的流行，每月下载次数超过8000万次，可能会影响大量前端项目。

Prototype pollution是一个漏洞，使攻击者能够修改web应用程序的JavaScript对象原型，该原型类似于一个变量，可用于根据预定义结构存储多个值。
这些结构和默认值称为原型，用于防止应用程序在未设置任何值时进行散列。

但是，如果攻击者成功地将属性注入现有JavaScript语言构造原型，并操纵这些属性以覆盖或污染，则可能会影响应用程序通过原型链处理JavaScript对象的方式，从而导致拒绝服务问题或远程代码执行漏洞。

根据Tal的说法，Lodash库中的函数“DefaultsDep”可能会被欺骗，从而添加或修改对象的属性。原型使用构造函数负载，这可能导致web应用程序崩溃或改变其行为，具体取决于受影响的用例。

应该指出的是，利用原型污染缺陷并不容易，需要深入了解每个目标web应用程序的工作原理。

负责的研究人员向Lodash的维护人员John Dalton报告了该漏洞，并提出了修复方案（pull requests 1和2），该修复方案将包含在库的下一个版本中，预计很快就会发布。

如果您的项目也使用lodash，建议您在正式补丁发布后立即更新库，或手动应用修复程序。