CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-26021

Critical
Published: Translated: NVD NIST

Summary

W pakiecie npm set-in (w wersjach >=2.0.1, < 2.0.5) występuje podatność na zanieczyszczenie prototypu. Mimo wcześniejszej poprawki, która miała na celu ograniczenie tego typu ataków, nadal istnieje możliwość zanieczyszczenia Object.prototype za pomocą odpowiednio skonstruowanego wejścia.

Risk Assessment

Zanieczyszczenie prototypu może prowadzić do nieautoryzowanego dostępu do właściwości obiektów w aplikacji, co może skutkować poważnymi lukami w bezpieczeństwie. Organizacje powinny być świadome ryzyka związanego z używaniem podatnych wersji tego pakietu.

Recommendation

Zaleca się aktualizację pakietu set-in do wersji 2.0.5 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt kodu, aby upewnić się, że nie występują inne potencjalne zagrożenia związane z zanieczyszczeniem prototypu.

Original NVD description (English source)

set-in provides the set value of nested associative structure given array of keys. A prototype pollution vulnerability exists in the the npm package set-in (>=2.0.1, < 2.0.5). Despite a previous fix that attempted to mitigate prototype pollution by checking whether user input contained a forbidden key, it is still possible to pollute Object.prototype via a crafted input using Array.prototype. This has been fixed in version 2.0.5.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS