CVE-2026-26021
CriticalSummary
W pakiecie npm set-in (w wersjach >=2.0.1, < 2.0.5) występuje podatność na zanieczyszczenie prototypu. Mimo wcześniejszej poprawki, która miała na celu ograniczenie tego typu ataków, nadal istnieje możliwość zanieczyszczenia Object.prototype za pomocą odpowiednio skonstruowanego wejścia.
Risk Assessment
Zanieczyszczenie prototypu może prowadzić do nieautoryzowanego dostępu do właściwości obiektów w aplikacji, co może skutkować poważnymi lukami w bezpieczeństwie. Organizacje powinny być świadome ryzyka związanego z używaniem podatnych wersji tego pakietu.
Recommendation
Zaleca się aktualizację pakietu set-in do wersji 2.0.5 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt kodu, aby upewnić się, że nie występują inne potencjalne zagrożenia związane z zanieczyszczeniem prototypu.
Original NVD description (English source)
set-in provides the set value of nested associative structure given array of keys. A prototype pollution vulnerability exists in the the npm package set-in (>=2.0.1, < 2.0.5). Despite a previous fix that attempted to mitigate prototype pollution by checking whether user input contained a forbidden key, it is still possible to pollute Object.prototype via a crafted input using Array.prototype. This has been fixed in version 2.0.5.

