Closed hkyyi closed 1 month ago
2.17.5
青龙2.17.5的protobuf版本当前是7.2.3,存在安全漏洞,更新protobuf到7.2.5解决这个问题
protobufjs 6.10.0 到 7.2.5 之前的 7.x 版本允许原型污染
攻击者可以使用用户控制的 protobuf 消息,通过添加和覆盖其数据和函数来污染 Object.prototype 的原型
No response
最新版已修复
whyour
commented
1 month ago whyour
commented
1 month ago
Qinglong version
2.17.5
Steps to reproduce
青龙2.17.5的protobuf版本当前是7.2.3,存在安全漏洞,更新protobuf到7.2.5解决这个问题
What is expected?
protobufjs 6.10.0 到 7.2.5 之前的 7.x 版本允许原型污染
What is actually happening?
攻击者可以使用用户控制的 protobuf 消息,通过添加和覆盖其数据和函数来污染 Object.prototype 的原型
System Info
No response
Any additional comments?
No response