Hola VPN - Din hjemmeside-afblokering

Underscore.js er et utility-belt-bibliotek til JavaScript. Før 1.13.8 brugte funktionerne _.flatten og _.isEqual rekursion uden en dybdegrænse. Under meget specifikke betingelser, som beskrevet nedenfor, kunne en angriber udnytte dette i et Denial of Service (DoS)-angreb ved at udløse et stack overflow. Upålidelig input skal bruges til at oprette en rekursiv datastruktur, for eksempel ved hjælp af JSON.parse, uden en håndhævet dybdegrænse. Den således oprettede datastruktur skal sendes til _.flatten eller _.isEqual. I tilfælde af _.flatten kan sårbarheden kun udnyttes, hvis det er muligt for en fjernklient at forberede en datastruktur, der består af arrays på alle niveauer, OG hvis ingen endelig dybdegrænse sendes som det andet argument til _.flatten. I tilfælde af _.isEqual kan sårbarheden kun udnyttes, hvis der findes en kodesti, hvor to forskellige datastrukturer, der blev indsendt af den samme fjernklient, sammenlignes ved hjælp af _.isEqual. Hvis for eksempel en klient indsender data, der er gemt i en database, og den samme klient senere kan indsende en anden datastruktur, der derefter sammenlignes med de data, der tidligere blev gemt i databasen, ELLER hvis en klient indsender en enkelt anmodning, men dens data parses to gange, hvilket skaber to ikke-identiske, men ækvivalente datastrukturer, der derefter sammenlignes. Undtagelser, der stammer fra kaldet til _.flatten eller _.isEqual, som følge af et stakoverløb, registreres ikke. Denne sårbarhed er rettet i 1.13.8.