CVE-2023-26136 影响开源 NPM 产品 Tough-Cookie

在 Salesforce，我们深知数据的保密性、完整性和可用性对企业至关重要，而且我们非常重视数据保护。
 

发生了什么情况？

2023 年 6 月 1 日，一位安全研究人员发现一个 JavaScript 漏洞会影响 Salesforce Tough-Cookie 开源 NPM 项目。此漏洞允许恶意行为者将 Cookie 数据附加到全局命名空间，导致 Cookie 暴露给有权访问您的运行代码的人员。 
 

Salesforce 如何解决此问题？ 

6 月 5 日，实施了修复程序，并将发行说明（在此获取）发布到 GitHub。6 月 29 日，发布了 CVE-2023-26136 来解决此漏洞，CVSS 评分为 6.5。
 

如何了解自己是否受影响？

要确定是否使用 Tough-Cookie NPM 包以及是否受此漏洞影响，请执行以下步骤：

1. 验证 Tough-Cookie 是否列为项目 package.json 文件中的依赖项。 
2. 如果 Tough-Cookie 列为依赖项，请验证您是否在使用 CookieJar，并且选项“rejectPublicSuffixes”设置为 false，选项 “store”要么未设置，要么设置为使用 MemoryCookieStore。如果您未实施这些配置选项，您不会受到此漏洞的影响，无需采取措施。如果您实施了这些配置选项，可访问您的运行代码的未授权行为者可访问存储在此 CookieJar 中的 Cookie。
   1. 注意：Cookie 暴露是因为只有在运行应用程序的生命周期中可访问此漏洞。阻止应用程序或重新启动应用程序将重新启动 CookieJar，删除与全局命名空间的所有活动连接。
3. 如果您的站点在实施以上配置选项，请按照以下步骤识别与全局命名空间的潜在可疑连接。 
   1. 连接到运行实例。
   2. 评估全局 Object.prototype。
      1. 示例：console.log(Object.prototype)
   3. 确定是否有以“/”开头的 Object.prototype 属性。
      1. 示例：“/notauth”
   4. 附加到这些属性的值是对象，其值为 Cookie。
      1. 示例：{Slonser: Cookie="Slonser=polluted; Domain=__proto__; Path=/notauth; hostOnly=false; aAge=1ms; cAge=35443ms"}

如果不是以上这些情况，那么您的运行实例不会受到此漏洞的影响。
 

如果我受到影响，我应采取何种措施？ 

如果您确定受到此漏洞的影响，要消除对您的 Cookie 的未授权访问，请将 Tough-Cookie 升级到 4.1.3 版（在此获取）。或者，您可以更新代码，确保 CookieJar 的所有实例均将 rejectPublicSuffixes 设置为 true，或使用 MemoryCookieStore 的替代存储库。
 

如果我有疑问，我应该怎么做？