Katalog CVE

CVE-2025-13465

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.54%

Percentyl 72 - wyżej niż 72% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece Lodash w wersjach od 4.0.0 do 4.17.22 umożliwia zanieczyszczenie prototypu (prototype pollution) poprzez funkcje _.unset i _.omit. Atakujący może przekazać spreparowane ścieżki, które spowodują usunięcie metod z globalnych prototypów.

Ocena ryzyka

Ryzyko polega na możliwości usunięcia kluczowych metod z prototypów obiektów, co może prowadzić do nieoczekiwanego działania aplikacji, błędów lub odmowy usługi (DoS). Podatność nie pozwala na nadpisanie zachowania, ale usunięcie metod może zakłócić działanie systemu.

Rekomendacja

Zaleca się natychmiastową aktualizację biblioteki Lodash do wersji 4.17.23 lub nowszej, która zawiera poprawkę usuwającą podatność.

Oryginalny opis (angielski, źródło NVD)

Lodash versions 4.0.0 through 4.17.22 are vulnerable to prototype pollution in the _.unset and _.omit functions. An attacker can pass crafted paths which cause Lodash to delete methods from global prototypes. The issue permits deletion of properties but does not allow overwriting their original behavior. This issue is patched on 4.17.23

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS