Katalog CVE

CVE-2026-45302

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Moduł parse-nested-form-data do parsowania FormData przed wersją 1.0.1 nie filtrował zarezerwowanych kluczy właściwości, co pozwalało na modyfikację prototypu obiektów. W przypadku, gdy nazwa pola FormData zaczynała się od __proto__ lub zawierała .__proto__. w ścieżce, parser mógł modyfikować Object.prototype, co prowadziło do zanieczyszczenia łańcucha prototypów.

Ocena ryzyka

Zagrożenie to może prowadzić do nieautoryzowanego dostępu do właściwości obiektów w aplikacji, co może skutkować poważnymi lukami w bezpieczeństwie. Zmiana prototypu obiektów może wpłynąć na działanie całej aplikacji i wprowadzić nieprzewidywalne błędy.

Rekomendacja

Zaleca się aktualizację modułu parse-nested-form-data do wersji 1.0.1 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt kodu, aby upewnić się, że nie występują inne podobne problemy.

Oryginalny opis (angielski, źródło NVD)

parse-nested-form-data is a tiny node module for parsing FormData by name into objects and arrays. Prior to version 1.0.1, parseFormData() walks bracket and dot-notation FormData field names into nested objects without filtering reserved property keys. A single FormData field whose name begins with __proto__, or contains .__proto__. mid-path, causes the parser to traverse onto Object.prototype and assign properties there, polluting the prototype chain of every plain object in the running process. This issue has been patched in version 1.0.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS