CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-28794

Critical
Published: Translated: NVD NIST

Summary

W narzędziu oRPC, które służy do budowy API zgodnych z OpenAPI, przed wersją 1.13.6 występowała podatność na zanieczyszczenie prototypu w deserializerze JSON RPC pakietu @orpc/client. Ta podatność pozwalała nieautoryzowanym, zdalnym atakującym na wstrzykiwanie dowolnych właściwości do globalnego Object.prototype.

Risk Assessment

Zanieczyszczenie prototypu może prowadzić do poważnych naruszeń bezpieczeństwa, w tym obejścia uwierzytelniania, odmowy usługi oraz potencjalnego zdalnego wykonania kodu. Ponieważ zanieczyszczenie utrzymuje się przez cały czas działania procesu Node.js, wpływa na wszystkie obiekty.

Recommendation

Zaleca się aktualizację do wersji 1.13.6 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Original NVD description (English source)

oRPC is an tool that helps build APIs that are end-to-end type-safe and adhere to OpenAPI standards. Prior to version 1.13.6, a prototype pollution vulnerability exists in the RPC JSON deserializer of the @orpc/client package. The vulnerability allows unauthenticated, remote attackers to inject arbitrary properties into the global Object.prototype. Because this pollution persists for the lifetime of the Node.js process and affects all objects, it can lead to severe security breaches, including authentication bypass, denial of service, and potentially Remote Code Execution. This issue has been patched in version 1.13.6.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS