Katalog CVE

CVE-2026-29063

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.98%

Percentyl 58 - wyżej niż 58% wszystkich znanych CVE

Streszczenie

Biblioteka Immutable.js zawiera podatność na zanieczyszczenie prototypu (Prototype Pollution) w funkcjach mergeDeep(), mergeDeepWith(), merge(), Map.toJS() i Map.toObject(). Problem został naprawiony w wersjach 3.8.3, 4.3.7 i 5.1.5.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do modyfikacji globalnych obiektów JavaScript, co może prowadzić do eskalacji uprawnień, wykonania dowolnego kodu lub naruszenia integralności danych w aplikacji.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę Immutable.js do wersji 3.8.3, 4.3.7 lub 5.1.5 w zależności od używanej gałęzi.

Oryginalny opis (angielski, źródło NVD)

Immutable.js provides many Persistent Immutable data structures. Prior to versions 3.8.3, 4.3.7, and 5.1.5, Prototype Pollution is possible in immutable via the mergeDeep(), mergeDeepWith(), merge(), Map.toJS(), and Map.toObject() APIs. This issue has been patched in versions 3.8.3, 4.3.7, and 5.1.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS