漏洞概述
Lodash 是一个广泛使用的 JavaScript 工具库。CVE-2025-13465 指出,在版本 4.0.0 至 4.17.22 中,其 _.unset 和 _.omit 函数存在原型污染漏洞。攻击者可通过构造恶意路径,导致 Lodash 删除全局原型上的方法,从而可能破坏应用逻辑或引发拒绝服务。该漏洞已在 4.17.23 版本中修复。
漏洞详情
- CVE 编号:CVE-2025-13465
- 漏洞类型:原型污染(CWE-1321)
- CVSS 评分:6.9(中危)
- 影响版本:Lodash 4.0.0 至 4.17.22
影响范围
所有使用 Lodash 4.0.0 至 4.17.22 版本的 JavaScript 应用程序,尤其是当用户输入被直接用于 _.unset 或 _.omit 函数的路径参数时,均可能受到此漏洞影响。
风险分析
该漏洞允许攻击者通过精心构造的输入路径,删除 Object、Array 等全局原型上的关键方法(如 toString、hasOwnProperty 等),虽然不能覆盖原有方法行为,但可能导致应用程序异常崩溃、逻辑错误或拒绝服务。在某些复杂场景下,还可能与其他漏洞组合利用,扩大攻击面。
修复建议
- 立即升级 Lodash 至 4.17.23 或更高版本,该版本已修复此漏洞。
- 若暂时无法升级,应严格校验和过滤传入
_.unset和_.omit的路径参数,避免使用不可信的用户输入。
