关键漏洞信息 漏洞概述 漏洞类型: Prototype Pollution 受影响版本: OneTrust SDK v6.33.0 CVE ID: CVE-2024-57708 CVSS 评分: 5.7/10 (中等) 漏洞描述 OneTrust SDK v6.33.0 存在原型污染漏洞,通过滥用 和 函数,攻击者可以注入恶意属性到原型链中,导致服务拒绝(DoS)或改变继承对象的行为。 技术细节 受影响的代码包含类似以下的原型赋值逻辑: 如果用户提供的对象包含 或构造函数原型引用,它可以全局污染 。 概念验证 (PoC) 提供了详细的 PoC 代码和浏览器控制台 PoC,用于演示如何利用该漏洞。 影响 全局对象污染 应用逻辑错误 潜在的 DoS 攻击 根据上下文可能进一步被利用 推荐措施 开发者应升级到修补版本,并对用于对象合并或原型操作的任何用户输入进行清理。