CVE-2024-48910 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:DOMPurify 存在**原型污染**漏洞。 💥 **后果**:攻击者可篡改对象原型属性,导致应用行为异常或逻辑绕过。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-1321 (原型污染)。 📉 **缺陷**:DOMPurify 2.4.2 之前版本未正确过滤输入,允许恶意键名污染 `Object.prototype`。
Q3影响谁?(版本/组件)
📦 **组件**:DOMPurify (由 Cure53 开发)。 📅 **版本**:**2.4.2 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:无需认证即可利用。 💾 **数据**:可读取/修改全局对象状态,潜在导致**高机密性**和**高完整性**损失。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**低**。 ⚙️ **配置**:CVSS 显示无需用户交互 (UI:N)、无需权限 (PR:N)、网络攻击 (AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
💻 **Exp**:**有**。 🔗 多个 PoC 已在 GitHub 公开(如 Mitchellzhou1 和 Alex-Acero-Security 的仓库),可直接复现。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查项目中 `package.json` 或依赖树。 🧐 **特征**:确认 DOMPurify 版本是否 **< 2.4.2**。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:**已修复**。 ✅ **方案**:升级至 **DOMPurify 2.4.2** 或更高版本。官方已发布安全公告。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**:若无法立即升级,建议实施严格的**输入验证**,或使用其他更安全的 HTML 清理库作为替代。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。 🚀 **建议**:CVSS 评分高 (C:H/I:H),且 PoC 公开,建议**立即**升级以消除风险。