严重 npm包ua-parser-js被恶意劫持植入挖矿脚本
CVE编号
N/A利用情况
POC 已公开补丁情况
没有补丁披露时间
2021-10-26漏洞描述
2021年10月22日晚上9点,阿里云安全团队监测到Npm官方仓库UAParse.js(ua-parser-js)官方账号疑似被恶意劫持,并遭遇投毒攻击,多个版本被攻击者植入挖矿脚本。该包月均下载量超千万,危害范围极广,请相关开发者、企业用户尽快自查,避免造成进一步损失。 ua-parser-js包是一个JavaScript库,用于从User-Agent中解析出浏览器、引擎、操作系统、CPU 和设备类型/模型等相关的设备信息,被广泛应用于JavaScript开发。ua-parser-js包用户非常广泛,如苹果,微软,Facebook,亚马逊,IBM, HPE,戴尔,甲骨文,Mozilla等大型科技公司对该包均有依赖。 影响版本: ua-parser-js 0.7.29 ua-parser-js 0.8.0 ua-parser-js 1.0.0 以上版本被攻击者植入挖矿脚本,其他版本暂时未受影响。解决建议
建议将ua-parser-js更新到最新版本。
参考链接 |
|
|---|---|
| https://mp.weixin.qq.com/s/-4JdUCksz3W1fpWN9lEAkw |
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 无需权限
- 影响范围 全局影响
- EXP成熟度 POC 已公开
- 补丁情况 没有补丁
- 数据保密性 数据泄露
- 数据完整性 无影响
- 服务器危害 服务器失陷
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论