In dem Artikel diskutiere ich einen Prototyp einer Verschmutzungsschwachstelle (CVE-2023-45282), der im Open MCT der NASA gefunden wurde. Dieser Fehler in JavaScript ermöglicht es Angreifern, Objektprototypen zu verändern, was möglicherweise zu schwerwiegenden Folgen wie Privilegienausweitung oder Remote Code Execution (RCE) führen kann. Ich erkläre, wie die Sicherheitslücke auftritt "Import aus JSON" Funktion, die die Anwendung zum Absturz bringen oder zu gefährlicheren Exploits führen kann. Glücklicherweise hat die NASA schnell reagiert, um das Problem zu beheben, aber es unterstreicht, wie wichtig es ist, Deep-Merge-Operationen in JavaScript sicherzustellen.
Diese Sicherheitsforschung wurde ursprünglich unter folgendem Link veröffentlicht: https://andy.codes/blog/security_articles/2023-10-12-prototype-pollution-in-nasas-open-mct.html