Hola VPN - 웹사이트 차단 해제

Underscore.js는 JavaScript용 유틸리티 라이브러리입니다. 1.13.8 이전 버전에서는 `_.flatten` 및 `_.isEqual` 함수가 깊이 제한 없이 재귀를 사용했습니다. 아래에 자세히 설명된 매우 특정한 조건에서 공격자는 스택 오버플로를 유발하여 서비스 거부(DoS) 공격을 수행할 수 있었습니다. 신뢰할 수 없는 입력을 사용하여 `JSON.parse`와 같이 깊이 제한이 없는 재귀 데이터 구조를 생성해야 합니다. 이렇게 생성된 데이터 구조를 `_.flatten` 또는 `_.isEqual` 함수에 전달해야 합니다. `_.flatten`의 경우, 원격 클라이언트가 모든 레벨에 배열로 구성된 데이터 구조를 준비할 수 있고, 두 번째 인수로 유한한 깊이 제한이 전달되지 않은 경우에만 취약점이 악용될 수 있습니다. `_.isEqual`의 경우, 동일한 원격 클라이언트가 제출한 두 개의 서로 다른 데이터 구조를 `_.isEqual`을 사용하여 비교하는 코드 경로가 존재하는 경우에만 취약점이 악용될 수 있습니다. 예를 들어, 클라이언트가 데이터베이스에 저장된 데이터를 제출한 후, 동일한 클라이언트가 나중에 다른 데이터 구조를 제출하여 이전에 데이터베이스에 저장된 데이터와 비교하거나, 클라이언트가 단일 요청을 제출했지만 데이터가 두 번 파싱되어 동일하지는 않지만 동등한 두 개의 데이터 구조가 생성되어 비교되는 경우, 스택 오버플로로 인해 _.flatten 또는 _.isEqual 호출에서 발생하는 예외가 포착되지 않습니다. 이 취약점은 1.13.8 버전에서 수정되었습니다.