CVE-2026-12644
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
Wersje pakietu ts-deepmerge przed 8.0.0 są podatne na nieobsłużony wyjątek z powodu niewłaściwego przetwarzania wbudowanych metod Object.prototype (takich jak toString, valueOf). Gdy dane wejściowe kontrolowane przez użytkownika zawierają te klucze z wartościami, które nie są funkcjami, wynikowy obiekt scalony staje się uszkodzony, co prowadzi do błędów typu TypeError.
Ocena ryzyka
Organizacja może doświadczyć awarii aplikacji, co prowadzi do przerwy w dostępności usług oraz potencjalnych strat finansowych. Niewłaściwe przetwarzanie danych wejściowych może również prowadzić do nieprzewidzianych zachowań aplikacji.
Rekomendacja
Zaleca się aktualizację pakietu ts-deepmerge do wersji 8.0.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt kodu w celu zapewnienia prawidłowego przetwarzania danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Versions of the package ts-deepmerge before 8.0.0 are vulnerable to Uncaught Exception due to the improper handling of built-in Object.prototype methods (such as toString, valueOf). When user-controlled input contains these keys with non-function values, the resulting merged object becomes broken — any string context operation throws a TypeError, crashing the application.

