CVE-2026-44966
HighCVSS 8.3Summary
W wersjach 2.1.5 i wcześniejszych Velocity.js, będący implementacją silnika szablonów Apache Velocity, odkryto podatność na zanieczyszczenie prototypu. Problem ten występuje podczas przetwarzania dyrektyw #set w szablonach Velocity.
Risk Assessment
Jeśli aplikacja renderuje szablon kontrolowany przez atakującego, istnieje możliwość modyfikacji Object.prototype, co może prowadzić do Denial of Service (DoS) lub zdalnego wykonania kodu (RCE) w zależności od środowiska serwera.
Recommendation
Zaleca się aktualizację Velocity.js do najnowszej wersji, aby usunąć tę podatność oraz przegląd zabezpieczeń aplikacji korzystających z tego silnika szablonów.
Original NVD description (English source)
Velocity.js is a JavaScript implementation of the Apache Velocity template engine. In 2.1.5 and earlier, a prototype pollution vulnerability was discovered in velocityjs. This issue occurs during the processing of #set directives in Velocity templates. If an application renders a template controlled by an attacker, it is possible to modify Object.prototype, potentially leading to Denial of Service (DoS) or Remote Code Execution (RCE) depending on the server environment.

