CVE-2026-44483
HighCVSS 8.2Summary
RVF (wcześniej Remix Validated Form) ma lukę, która pozwala na zanieczyszczenie prototypu obiektu w aplikacjach React. W wersjach od 6.0.0 do przed 6.0.4 oraz 7.0.2, funkcja setPath nie blokuje kluczy __proto__, constructor ani prototype, co umożliwia atakującym ustawienie dowolnych właściwości na Object.prototype.
Risk Assessment
Organizacje mogą być narażone na ataki, które pozwalają na modyfikację prototypu obiektów w aplikacjach, co może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi. Każdy punkt końcowy akceptujący formularze jest zagrożony.
Recommendation
Zaleca się aktualizację do wersji 6.0.4 lub 7.0.2, aby usunąć tę podatność. Należy również przeprowadzić audyt aplikacji, aby zidentyfikować i zabezpieczyć wszystkie punkty końcowe akceptujące formularze.
Original NVD description (English source)
RVF (formerly Remix Validated Form) provides easy form validation and state management for React. From 6.0.0 to before 6.0.4 and 7.0.2, setPath in @rvf/set-get (used by @rvf/core to flatten incoming form data into a nested object) does not block the keys __proto__, constructor, or prototype when walking a path. Because field names in submitted form data are passed directly to setPath via preprocessFormData (and through parseFormData / validate), an attacker who can submit a form to a Remix / React Router app using the library can set arbitrary properties on Object.prototype of the running server process. This is a default-reachable prototype pollution primitive: no special configuration is required. Any endpoint that accepts a form via parseFormData or runs a validator created with createValidator is affected. This vulnerability is fixed in 6.0.4 and 7.0.2.

