Hola VPN - Twój odblokowujący witrynę
Najprostszy sposób na dostęp do Internetu bez granic. Hola VPN zapewnia dostęp do globalnych treści online, których potrzebujesz!
7.1 / 10
Wysokie ryzyko
Dla wersji rozszerzenia 1.253.755
Ostatnia wersjaUnderscore.js to biblioteka typu „tool-belt” dla JavaScript. W wersjach wcześniejszych niż 1.13.8 funkcje _.flatten i _.isEqual używają rekurencji bez limitu głębokości. W bardzo specyficznych warunkach, opisanych poniżej, atakujący może wykorzystać to w ataku typu DoS (DoS), wywołując przepełnienie stosu. Do utworzenia rekurencyjnej struktury danych, na przykład za pomocą JSON.parse, bez wymuszonego limitu głębokości, należy użyć niezaufanych danych wejściowych. Utworzona w ten sposób struktura danych musi zostać przekazana do _.flatten lub _.isEqual. W przypadku _.flatten, luka może zostać wykorzystana tylko wtedy, gdy zdalny klient może przygotować strukturę danych składającą się z tablic na wszystkich poziomach ORAZ jeśli nie przekazano skończonego limitu głębokości jako drugiego argumentu do _.flatten. W przypadku _.isEqual, luka może zostać wykorzystana tylko wtedy, gdy istnieje ścieżka kodu, w której dwie różne struktury danych przesłane przez tego samego klienta zdalnego są porównywane za pomocą _.isEqual. Na przykład, jeśli klient przesyła dane przechowywane w bazie danych, a ten sam klient może później przesłać inną strukturę danych, która jest następnie porównywana z danymi zapisanymi wcześniej w bazie danych, LUB jeśli klient przesyła pojedyncze żądanie, ale jego dane są parsowane dwukrotnie, tworząc dwie nieidentyczne, ale równoważne struktury danych, które są następnie porównywane. Wyjątki pochodzące z wywołania _.flatten lub _.isEqual, wynikające z przepełnienia stosu, nie są wykrywane. Ta luka została naprawiona w wersji 1.13.8.
Wykrycia behawioralne
Odblokuj pełną matrycę MITRE ATT&CK
Polityka Prywatności
Odblokuj ocenę ryzyka związanego z polityką prywatności