CVE-2026-26021
KrytyczneStreszczenie
W pakiecie npm set-in (w wersjach >=2.0.1, < 2.0.5) występuje podatność na zanieczyszczenie prototypu. Mimo wcześniejszej poprawki, która miała na celu ograniczenie tego typu ataków, nadal istnieje możliwość zanieczyszczenia Object.prototype za pomocą odpowiednio skonstruowanego wejścia.
Ocena ryzyka
Zanieczyszczenie prototypu może prowadzić do nieautoryzowanego dostępu do właściwości obiektów w aplikacji, co może skutkować poważnymi lukami w bezpieczeństwie. Organizacje powinny być świadome ryzyka związanego z używaniem podatnych wersji tego pakietu.
Rekomendacja
Zaleca się aktualizację pakietu set-in do wersji 2.0.5 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt kodu, aby upewnić się, że nie występują inne potencjalne zagrożenia związane z zanieczyszczeniem prototypu.
Oryginalny opis (angielski, źródło NVD)
set-in provides the set value of nested associative structure given array of keys. A prototype pollution vulnerability exists in the the npm package set-in (>=2.0.1, < 2.0.5). Despite a previous fix that attempted to mitigate prototype pollution by checking whether user input contained a forbidden key, it is still possible to pollute Object.prototype via a crafted input using Array.prototype. This has been fixed in version 2.0.5.

