CVE-2026-45302
HighCVSS 8.2Summary
Moduł parse-nested-form-data do parsowania FormData przed wersją 1.0.1 nie filtrował zarezerwowanych kluczy właściwości, co pozwalało na modyfikację prototypu obiektów. W przypadku, gdy nazwa pola FormData zaczynała się od __proto__ lub zawierała .__proto__. w ścieżce, parser mógł modyfikować Object.prototype, co prowadziło do zanieczyszczenia łańcucha prototypów.
Risk Assessment
Zagrożenie to może prowadzić do nieautoryzowanego dostępu do właściwości obiektów w aplikacji, co może skutkować poważnymi lukami w bezpieczeństwie. Zmiana prototypu obiektów może wpłynąć na działanie całej aplikacji i wprowadzić nieprzewidywalne błędy.
Recommendation
Zaleca się aktualizację modułu parse-nested-form-data do wersji 1.0.1 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt kodu, aby upewnić się, że nie występują inne podobne problemy.
Original NVD description (English source)
parse-nested-form-data is a tiny node module for parsing FormData by name into objects and arrays. Prior to version 1.0.1, parseFormData() walks bracket and dot-notation FormData field names into nested objects without filtering reserved property keys. A single FormData field whose name begins with __proto__, or contains .__proto__. mid-path, causes the parser to traverse onto Object.prototype and assign properties there, polluting the prototype chain of every plain object in the running process. This issue has been patched in version 1.0.1.

