| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.9 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in protobuf.js bis 7.2.3 ausgemacht. Sie wurde als problematisch eingestuft. Davon betroffen ist unbekannter Code. Durch das Beeinflussen mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2023-36665 bekannt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
In protobuf.js bis 7.2.3 (JavaScript Library) wurde eine problematische Schwachstelle gefunden. CWE definiert das Problem als CWE-1321. Die genauen Auswirkungen eines erfolgreichen Angriffs sind bisher nicht bekannt. CVE fasst zusammen:
protobuf.js (aka protobufjs) 6.10.0 through 7.x before 7.2.4 allows Prototype Pollution, a different vulnerability than CVE-2022-25878. A user-controlled protobuf message can be used by an attacker to pollute the prototype of Object.prototype by adding and overwriting its data and functions. Exploitation can involve: (1) using the function parse to parse protobuf messages on the fly, (2) loading .proto files by using load/loadSync functions, or (3) providing untrusted input to the functions ReflectionObject.setParsedOption and util.setProperty. NOTE: this CVE Record is about "Object.constructor.prototype. = ...;" whereas CVE-2022-25878 was about "Object.__proto__. = ...;" instead.Die Schwachstelle wurde am 05.07.2023 an die Öffentlichkeit getragen. Das Advisory kann von code-intelligence.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 25.06.2023 mit CVE-2023-36665 vorgenommen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059.
Ein Upgrade auf die Version 7.2.4 vermag dieses Problem zu beheben. Eine neue Version kann von github.com bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen des Patches e66379f451b0393c27d87b37fa7d271619e16b0d beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von EUVD (EUVD-2023-2072) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.1VulDB Meta Temp Score: 6.9
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: UnbekanntCWE: CWE-1321 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: protobuf.js 7.2.4
Patch: e66379f451b0393c27d87b37fa7d271619e16b0d
Timeline
25.06.2023 🔍05.07.2023 🔍
05.07.2023 🔍
20.07.2025 🔍
Quellen
Advisory: e66379f451b0393c27d87b37fa7d271619e16b0dStatus: Bestätigt
Bestätigung: 🔍
CVE: CVE-2023-36665 (🔍)
GCVE (CVE): GCVE-0-2023-36665
GCVE (VulDB): GCVE-100-232996
EUVD: 🔍
Eintrag
Erstellt: 05.07.2023 18:07Aktualisierung: 20.07.2025 23:30
Anpassungen: 05.07.2023 18:07 (42), 23.07.2023 13:25 (1), 23.07.2023 13:31 (11), 20.07.2025 23:30 (16)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.