jsonpath-plus'ta Uzaktan Kod Yürütme Güvenlik Açığı
jsonpath-plus CVE-2025-1302 , paketin 10.3.0'dan önceki sürümlerini etkileyen önemli bir güvenlik açığıdır . Bu güvenlik açığı, uygunsuz giriş temizliği nedeniyle Uzaktan Kod Yürütmeye (RCE)eval='safe' izin vererek saldırganların etkilenen sistemlerde keyfi kod yürütmesine olanak tanır. Sorun , saldırganlar tarafından özel koşullar, ayrıcalıklar veya kullanıcı etkileşimi gerektirmeden istismar edilebilen modun güvenli olmayan varsayılan kullanımından kaynaklanır .
CVE-2025-1302 için Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanı 8,9 olarak derecelendirilmiştir ve bu da onu yüksek önem derecesine sahip bir güvenlik açığı olarak sınıflandırır . Bu güvenlik açığının etkisi çeşitli boyutlarda önemlidir:
: Önemli etki
: Önemli etki
: Önemli etki
Bu güvenlik açığının uzaktan istismar edilebilme potansiyeli dikkat çekiyor ve bu da onu özellikle ağ ortamlarında tehlikeli hale getiriyor .
CVE-2025-1302'nin temel nedeni, önceki bir güvenlik açığı olan CVE-2024-21534 için tamamlanmamış bir düzeltmeyle bağlantılıdır. Uygunsuz giriş temizliği, saldırganların güvenlik açığı olan . sürümünü çalıştıran sunucuda keyfi kod yürütebilen yükler oluşturmasına olanak tanır jsonpath-plus. Bu, JavaScript ortamının yürütme bağlamını değiştiren hazırlanmış JSONPath sorguları aracılığıyla yapılabilir .
Kullanıcı tarafından gönderilen JSON verilerini işlemek için kullanılan bir web uygulamasını düşünün jsonpath-plus . Bir saldırgan bu güvenlik açığından faydalanmak için tasarlanmış kötü amaçlı bir JSONPath sorgusu gönderirse, sunucuda potansiyel olarak keyfi JavaScript kodu çalıştırabilir. Örneğin, bir saldırgan şuna benzer bir yük kullanabilir:
javascriptconst { JSONPath } = require("jsonpath-plus"); const maliciousPath = "$[?(eval('maliciousCode'))]"; const result = JSONPath({ json: { /* some user data */ }, path: maliciousPath, });
Bu senaryoda, uygulama girdiyi düzgün bir şekilde temizlemezse, maliciousCodesunucunun bütünlüğünü ve gizliliğini tehlikeye atan bir yürütme işlemine yol açabilir.
CVE-2025-1302 ile ilişkili riskleri azaltmak için geliştiricilerin ve sistem yöneticilerinin aşağıdaki eylemleri gerçekleştirmeleri önerilir:
: Bu güvenlik açığı giderilmişse derhal 10.3.0
jsonpath-plusveya üzeri sürüme yükseltin.: JSONPath sorguları tarafından işlenen tüm kullanıcı tarafından gönderilen veriler için sıkı giriş doğrulaması ve temizleme uygulayın.
jsonpath-plus: veya benzeri kütüphaneleri kullanan uygulamalarda düzenli güvenlik denetimleri ve sızma testleri gerçekleştirin .: İstismar girişimlerini gösterebilecek olağandışı etkinliklere yönelik izlemeyi ayarlayın.
Çözüm
CVE-2025-1302 güvenlik açığı sürümlerini kullanan uygulamalar için kritik bir güvenlik riski oluşturur jsonpath-plus. Bu güvenlik açığının doğasını anlayarak ve bunu azaltmak için proaktif adımlar atarak, kuruluşlar sistemlerini olası istismardan koruyabilir ve verilerinin bütünlüğünü ve gizliliğini sağlayabilir.