About

Contact

Send us your news

Kritieke Prototype Pollution-kwetsbaarheid in AdonisJS Bodyparser (CVE-2024-34138)

Written by Olivia Nolan

januari 11, 2026

Een recent security-advies heeft een kritieke kwetsbaarheid, geïdentificeerd als CVE-2024-34138, aan het licht gebracht binnen het `@adonisjs/bodyparser` pakket, een kerncomponent voor het verwerken van inkomende HTTP-request bodies in het AdonisJS-framework. Deze AdonisJS Bodyparser-kwetsbaarheid is geclassificeerd als een 'Prototype Pollution'-kwetsbaarheid. Het stelt een externe, niet-geauthenticeerde aanvaller in staat om het prototype van basisobjecten in de JavaScript-omgeving te manipuleren door een kwaadwillend opgesteld `multipart/form-data`-request te verzenden. De gevolgen zijn ernstig en kunnen variëren van Denial of Service (DoS), wat de applicatie laat crashen, tot onvoorspelbaar applicatiegedrag, het omzeilen van beveiligingsmaatregelen en, in het ergste geval, Remote Code Execution (RCE). Alle versies van `@adonisjs/bodyparser` vóór 11.1.1 zijn kwetsbaar, wat een onmiddellijke update noodzakelijk maakt voor alle ontwikkelaars die dit pakket gebruiken.

Luister naar dit artikel:

De kern van deze kwetsbaarheid ligt in de manier waarop de body-parser middleware de onderdelen van een `multipart/form-data` payload verwerkt. Een aanvaller kan een HTTP-request construeren met speciaal benoemde velden, zoals `__proto__` of `constructor.prototype`. De parser faalt erin deze kwaadaardige sleutels adequaat te saneren voordat ze worden samengevoegd tot een JavaScript-object. Hierdoor kan de aanvaller eigenschappen toevoegen aan of wijzigen op het globale `Object.prototype`. Zodra dit prototype is 'vervuild', erven alle objecten in de applicatie deze gemanipuleerde eigenschappen. Dit kan leiden tot onverwachte logica, waarbij code die afhankelijk is van de aan- of afwezigheid van bepaalde objecteigenschappen zich anders gedraagt. Een aanvaller kan dit misbruiken om bijvoorbeeld permissiechecks te omzeilen, gevoelige data bloot te leggen of de applicatie in een onstabiele staat te brengen die resulteert in een crash.
Elke applicatie die gebruikmaakt van het AdonisJS-framework en het `@adonisjs/bodyparser`-pakket in een versie lager dan 11.1.1 is potentieel kwetsbaar. De kwetsbaarheid is niet afhankelijk van specifieke applicatielogica, maar is inherent aan de manier waarop de body-parser omgaat met een standaard en veelgebruikt content-type. Het risico is bijzonder hoog voor publiek toegankelijke endpoints die `multipart/form-data` accepteren, zoals formulieren voor het uploaden van bestanden of complexe data-inzendingen. Ontwikkelteams kunnen hun kwetsbaarheid vaststellen door de `package.json` en `package-lock.json` (of `yarn.lock`) bestanden te inspecteren om de exacte geïnstalleerde versie van `@adonisjs/bodyparser` te verifiëren. Geautomatiseerde tools voor Software Composition Analysis (SCA), zoals `npm audit` of commerciële alternatieven, kunnen dit proces versnellen en helpen bij het identificeren van deze en andere bekende kwetsbaarheden in projectafhankelijkheden.

advertenties

advertenties

advertenties

advertenties

De meest effectieve en dringende actie is het updaten van het `@adonisjs/bodyparser`-pakket naar de gepatchte versie 11.1.1 of hoger. Dit kan worden bereikt door het commando `npm update @adonisjs/bodyparser` of `yarn upgrade @adonisjs/bodyparser` uit te voeren in de projectdirectory en de lock-bestanden opnieuw te genereren. Na de update is het cruciaal om de applicatie grondig te testen om de functionaliteit te waarborgen. Voor systemen waar een onmiddellijke update niet mogelijk is, kan als tijdelijke maatregel een Web Application Firewall (WAF) worden geconfigureerd om requests met verdachte patronen zoals `__proto__` in de body te blokkeren. Op de lange termijn benadrukt dit incident het belang van een robuust patchmanagementbeleid, het regelmatig uitvoeren van security-scans op afhankelijkheden en het hanteren van een 'secure by default'-benadering bij het ontwikkelen van software.

Olivia Nolan is redacteur bij MSP2Day, waar zij zich richt op het vertalen van complexe IT- en technologische ontwikkelingen naar toegankelijke en inspirerende artikelen. Met haar ervaring als content manager en social media expert weet zij inhoud niet alleen informatief, maar ook aantrekkelijk en relevant te maken voor een breed publiek.

FinOps voor MSP’s: De Sleutel tot Consistente Leadgeneratie

Cybersecurity Alert: Kritieke n8n-kwetsbaarheid (CVE-2024-21495) vereist onmiddellijke actie

ons NETWeRK

Cloud Insights

FinOPS NEtwork

IT Insights

MSP2DAY

OOK INTERESSANT

CASE STUDIES

WHITEPAPERS

partners

Cloudfest / MSP GLOBAL

jaarbeurs

Heliview

plusgrowth

nieuwsbrief ontvangen?

MSP2DAY

MSP2Day is the daily news source for Managed Service Providers - where MSP professionals go for current news, trends and insights that drive their business forward.

Alphen aan de rijn
kvk 80589367

stuur ons je nieuws/persbericht

technology, trends & innovaties

© {{current_year}} INFO

PRIVACY POLICY terms of service