一、漏洞详情

SuperJson是一个Json解析器和生成器，其设计遵循无语言特性，可以用任何编程语言实现；Blitz.js是一个全栈React Web框架，基于Next.js构建。

近日披露了Superjson中可导致远程代码执行的一个原型污染漏洞(CVE-2022-23631)的漏洞细节。SuperJson 1.8.1之前的版本中存在原型污染漏洞，成功利用此漏洞可在未经身份验证的情况下在目标服务器上远程执行任意代码。由于Blitz.js的RPC层中使用了Superjson，因此该漏洞也影响了Blitz.js 框架。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Superjson (npm) < 1.8.1

Blitz.js (npm) < 0.45.3

三、修复建议

目前此漏洞已经修复，受影响用户可升级到Superjson版本1.8.1、Blitz.js 版本0.45.3或更高版本。

下载链接：https://www.npmjs.com/package/superjson

注：若无法升级Blitz.js，可以选择将Superjson升级到1.8.1或更高版本。