CVE-2025-61140
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 32 - wyżej niż 32% wszystkich znanych CVE
Streszczenie
Funkcja value w bibliotece jsonpath w wersji 1.1.1 w pliku lib/index.js jest podatna na zanieczyszczenie prototypu (Prototype Pollution). Atakujący może wykorzystać tę lukę do modyfikacji prototypu obiektów, co może prowadzić do nieautoryzowanego dostępu lub wykonania kodu.
Ocena ryzyka
Ryzyko dla organizacji obejmuje potencjalne przejęcie kontroli nad aplikacją, wyciek danych lub eskalację uprawnień poprzez manipulację prototypem obiektów JavaScript.
Rekomendacja
Zaleca się natychmiastową aktualizację biblioteki jsonpath do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest możliwa, należy zastosować tymczasowe obejście, takie jak walidacja danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
The value function in jsonpath 1.1.1 lib/index.js is vulnerable to Prototype Pollution.

