漏洞概述
seroval 是一个用于 JavaScript 值序列化的库,支持比原生 JSON.stringify 更复杂的结构。在 1.4.0 及更早版本中,其 JSON 反序列化组件存在输入处理不当的问题,可能导致任意 JavaScript 代码执行。攻击者可通过覆盖常量值和错误反序列化机制,间接触发不安全的 JavaScript 评估。该漏洞影响 fromJSON 和 fromCrossJSON 函数,在客户端到服务器的数据传输场景中可能被利用。此问题已在 1.4.0 版本中修复。
漏洞详情
- CVE 编号:CVE-2026-23737
- 漏洞类型:反序列化漏洞(CWE-502: Deserialization of Untrusted Data)
- CVSS 评分:7.5(HIGH)
- 影响版本:seroval 1.4.0 及以下版本
影响范围
使用 seroval 库 1.4.0 或更早版本,并在客户端与服务器之间通过 fromJSON 或 fromCrossJSON 函数处理反序列化数据的应用程序均受影响。
风险分析
攻击者在具备低权限(如能向目标函数发送请求)且对序列化数据使用方式有一定了解的前提下,可通过多次请求(至少 4 次)构造恶意输入,触发任意 JavaScript 代码执行。成功利用可导致机密信息泄露、系统完整性破坏及服务可用性丧失,风险等级为高。
修复建议
- 立即升级 seroval 至 1.4.0 或更高版本,该版本已修复此漏洞。
- 若无法立即升级,应避免在不可信上下文中使用 fromJSON 和 fromCrossJSON 函数,或对输入数据实施严格验证与过滤。
