如何获取 veracode 漏洞报告的详细信息?
我是一个流行的 JS 库Ramda的维护者,我们最近收到了一份报告,称该库存在原型污染漏洞。这可以追溯到一份veracode 报告,该报告说:
ramda 很容易受到原型污染。攻击者可以通过该函数将属性注入到现有的构造原型中,
_curry2并修改诸如__proto__、constructor和prototype.
我明白他们在谈论原型污染。snyk为lodash.merge. Ramda 的设计不同,明显类似的 Ramda 代码不受这种漏洞的影响。这并不意味着 Ramda 的任何部分都不受它的约束。但该报告没有包含任何细节,没有代码片段,也没有办法挑战他们的发现。
他们描述的细节显然是错误的。 _curry2不可能遇到这个问题。但由于该函数被用作许多其他函数的包装器,因此记者的误解可能隐藏了一个真正的漏洞。
有没有办法获取此错误报告的详细信息?演示问题的代码片段?任何事物?我已经填写了他们的联系表格。答案可能还在,就像 24 小时前一样,但我并没有屏住呼吸——它似乎主要是一种销售形式。我所做的所有搜索都导致了有关如何使用他们的安全工具的信息,而几乎没有关于如何创建他们的自定义报告的信息。我在 CVE 数据库中找不到这个。