CVE-2026-29063
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 58 - wyżej niż 58% wszystkich znanych CVE
Streszczenie
Biblioteka Immutable.js zawiera podatność na zanieczyszczenie prototypu (Prototype Pollution) w funkcjach mergeDeep(), mergeDeepWith(), merge(), Map.toJS() i Map.toObject(). Problem został naprawiony w wersjach 3.8.3, 4.3.7 i 5.1.5.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do modyfikacji globalnych obiektów JavaScript, co może prowadzić do eskalacji uprawnień, wykonania dowolnego kodu lub naruszenia integralności danych w aplikacji.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę Immutable.js do wersji 3.8.3, 4.3.7 lub 5.1.5 w zależności od używanej gałęzi.
Oryginalny opis (angielski, źródło NVD)
Immutable.js provides many Persistent Immutable data structures. Prior to versions 3.8.3, 4.3.7, and 5.1.5, Prototype Pollution is possible in immutable via the mergeDeep(), mergeDeepWith(), merge(), Map.toJS(), and Map.toObject() APIs. This issue has been patched in versions 3.8.3, 4.3.7, and 5.1.5.

