WhiteSource 公司基于 NVD、安全公告和開源項目問題追蹤工具等回顧了2020年出現的十大開源漏洞,。如下：

　　1,、Lodash

　　CVE-2020-8203：CVSS 評分：7.4，高危,，受影響版本：4.17.2之前版本

　　易受攻擊的 Lodash 版本在使用 _.zipObjectDeep 時,，存在一個原型污染漏洞。HackerOne 發(fā)布的原始報告指出,，該漏洞可被用于在 Object.prototype 中注入屬性,，從而導致敏感信息暴露、數據增加或修改或者拒絕服務,。該報告提供了復現步驟：

　　通過 lodash 的 “zipObjectDeep” 函數構建一個對象：

　　Lodash 是一個 JavaScript 工具庫,，文檔指出，Lodash 通過簡化和數組,、數字、對象,、字符串等的工作,，使得 JavaScript 更易于處理。這也是為何很多開發(fā)人員喜歡用這個開源庫迭代數組,、對象和字符串,；操縱和測試值；以及創(chuàng)建復合函數的原因所在,。

　　2,、FasterXML jackson-databind

　　CVE-2020-24616：CVSS評分8.1，高危,，影響 2.9.10.6 之前的 2.x 版本

　　易受攻擊的 FasterXML Jackson-databind 錯誤地處理了和 br.com.anteros.dbcp.AnterosDBCPDataSource （即 Anteros-DBCP）之間存在關系的序列化小工具和鍵入之間的交互,。

　　序列化是Java 開發(fā)人員的常見實踐。多年來,，Java 序列化框架和庫中都出現了很多序列化問題,。因 JSON 庫而聞名的一名開源開發(fā)人員 @cowtowncoder 指出，“序列化小工具”的負面作用是能夠執(zhí)行惡意操作,，造成遠程代碼執(zhí)行,、拒絕服務或敏感數據泄露等攻擊。雖然這種 exploit 類型可能會造成實際后果,，但該開發(fā)員表示這些攻擊不易執(zhí)行且要求具備很多前提條件,。

　　多年來，得益于它翻譯流行數據交換轉換器 JSON 和 Java 的方式，jackson-databind 都是人們的最愛,，是開發(fā)人員運行 API 的必選,。如果你也是 Java 開發(fā)，請務必保證 Jackson-databind 是最新版本,。

　　3,、HtmLUnit

　　CVE-2020-5529：CVSS 8.1分，高危,，影響2.37.0之前的版本

　　易受攻擊的 HtmlUnit 中存在代碼執(zhí)行問題,。從NVD 中可看到，當 HtmlUnit 不正確地初始化 Rhino 引擎時,，惡意 JavaScript 代碼可在應用程序中執(zhí)行任意 Java 代碼,。當被嵌入安卓應用程序中時，由于對 Rhino 引擎的初始化未正確執(zhí)行,，惡意 JavaScript 代碼可在應用上執(zhí)行任意 Java 代碼,。

　　從文檔可知，HtmlUnit 是 “Java 程序的 GUI-Less 瀏覽器”,，同時支持 JavaScript 和 AJAX 庫,。它為 HTML 文檔建模，并提供 API 供用戶調用頁面,、填寫表單,、單擊鏈接等。該開源項目通常用于測試或從網站檢索信息,。

　　4,、Handlebars

　　CVE-2019-20920，CVSS 評分8.1,，高危,，影響3.0.8之前的版本以及4.5.3之前的 4.x 版本。

　　NPM 安全公告指出,，易受攻擊的 Handlebars 中存在一個任意代碼執(zhí)行問題,。該安全公告解釋稱，該包的 lookup 助手未正確驗證模板,，使得惡意人員能夠提交在系統(tǒng)中執(zhí)行任意 JavaScript 的模板,。該漏洞可用于在服務器處理 Handlebars 模板中或者在受害者瀏覽器中運行任意代碼。該漏洞之前漏洞的修復方案不完整導致的,。

　　Handlebars 是 Mustache 模板語言的一個擴展,，是一種“無邏輯的模板語言，使查看和代碼分離”更容易,。目前從 npm 每周的下載超過700萬次,，它是一個極其熱門的開源項目,，由認真負責的社區(qū)支持和維護。

　　5,、http-proxy

　　CVE 編號尚未分配：影響1.18.1之前的版本

　　某些 http-proxy 版本易受拒絕服務攻擊,。主體部分較長的HTTP 請求能夠觸發(fā) ERR_HTTP_HEADERS_SENT 未被處理的異常，從而使代理服務器崩潰,。只有當代理服務器通過使用 proxyReq.setHeader 函數在代理請求中設置標頭時,，才會發(fā)生這種情況。

　　Http-proxy 是一種 HTTP 可編程代理庫,，支持 websocket 并有助于實現多個組件如反向代理和負載平衡器之類的組件,。它是一個非常受歡迎的開源庫，目前每周的 NPM 下載量接近1200萬,，而且支持2000多個依賴,。鑒于此，用戶有必要確保使用的是最新版本 1.18.1,。

　　6,、decompress

　　CVE-2020-12265，CVSS 評分9.8,，嚴重,，影響 4.2.1 以前的版本

　　NPM 安全公告指出,，受影響的 decompress 版本易受任意文件寫入漏洞影響,。惡意人員可通過包含含有 / 的文件名稱寫入任意文件夾,，因為該軟件包不會通過相對路徑阻止文件提取,。

　　Decompress 是一個致力于輕松提取文檔的開源項目。它說明了相對小型項目中的漏洞,，很多人通過它執(zhí)行簡單的任務，如果漏洞未得到修復可為用戶造成巨大損害。Decompress 等項目讓編程更容易,，但雖然它們執(zhí)行的任務看似簡單，但不能因此忽視對開源漏洞的管理工作,。

　　安全公告建議更新至版本 4.2.1 或后續(xù)版本,。

　　7、XStream

　　CVE-2020-26217,，CVSS評分8.8,，高危，影響1.4.14之前版本

　　易受攻擊的 XStream 中存在一個遠程代碼執(zhí)行漏洞,。XStream 解釋稱,，“在解組時處理的流包括重構之前寫入對象的類型信息。因此,，XStream 基于這些類型信息創(chuàng)建新的實例,。攻擊者能夠操縱處理后的輸入流，并替換或注入可以執(zhí)行任意 shell 命令的對象?！?/p>

　　GitHub 安全公告建議依賴 XStream 的用戶將安全框架的默認黑名單更新到 1.4.14 或后續(xù)版本,。遵循建議通過白名單設置 XStream 的 Security Framework 的用戶不受影響。

　　XStream 是一個開源庫,，執(zhí)行從 Java 到 XML 的序列化,，然后再返回。文檔列出了傳輸,、持久性,、配置和單元測試的典型用法。由于它是許多開源 Java Web 應用程序所使用的非常流行的庫,，因此確保正在使用最新版本并遵循建議非常重要,。

　　8、Netty

　　CVE-2020-11612,，CVSS 評分9.8,，影響 4.1.46 之前的 4.1.x 版本。

　　ZlibDecoders 易受攻擊的 Netty 版本在解碼 ZlibEncoded 字節(jié)流時,，可導致無限制的內存分配,。惡意人員可利用該漏洞向 Netty 服務器發(fā)送較大的 ZlibEncoded 字節(jié)流，從而迫使服務器將所有可用內存分配給單個解碼器,。

　　Netty 是一個異步事件驅動的網絡應用程序框架,，旨在快速開發(fā)可維護的高性能協議服務器和客戶端。該項目的文檔指出,，此 NIO 客戶端/服務器框架有助于簡化和梳理 TCP 和 UDP 套接字服務器等網絡編程,。

　　9、Spring Framework

　　CVE-2020-5398,，CVSS 評分7.5,，影響版本包括：5.2.3之前的 5.2.x 版本、5.1.13 之前的 5.1.x 版本以及5.0.16之前的5.0.x版本,。

　　在受影響的 Spring Framework 版本中,，當應用程序在響應（文件名稱屬性是由用戶提供的衍生輸入）中設置 “Content-Disposition” 標頭時，應用程序易受反射型文件下載 （RFD） 攻擊的影響,。

　　如果你正在使用 Java,，很可能會遇到 Spring。它是極其流行的 Java 應用開發(fā)框架,，得益于其模塊化和輕量的特點,，可使開發(fā)人員輕松創(chuàng)建出強大的應用程序。眾所周知,，它顛覆了控制設計原理（結合了分層,、輕量級容器以及可在接口上編程的能力）,。

　　10、PyYAML

　　CVE-2020-1747,，CVSS 評分9.8,，影響 5.3.1 之前的版本。

　　當不受信任的 YAML 文件通過 full_load 方法或通過 FullLoader 負載器處理時,，易受攻擊的 PyYAML 庫易受任意代碼執(zhí)行漏洞的影響,。攻擊者可利用該漏洞通過濫用 python/object/new 構建器在系統(tǒng)上濫用任意代碼。

　　PyYAML 是一款極其流行的針對 Python 的 YAML 解析器和發(fā)射器,。由于近年來 Python 的熱度高居不下,，因此用戶最好確保使用的是 PyYAML 的更新版本。