Katalog CVE

CVE-2026-46509

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W wersjach przed 1.0.3 biblioteki deepobj możliwe było zanieczyszczenie prototypu, gdy ścieżki właściwości zawierały __proto__/constructor/prototype. Właściwości te nie powinny być udostępniane jako dane wejściowe od użytkownika.

Ocena ryzyka

Zanieczyszczenie prototypu może prowadzić do nieautoryzowanego dostępu do obiektów i potencjalnych ataków na aplikację, co zagraża bezpieczeństwu danych organizacji.

Rekomendacja

Zaleca się aktualizację biblioteki deepobj do wersji 1.0.3 lub nowszej oraz unikanie udostępniania ścieżek właściwości jako danych wejściowych od użytkowników.

Oryginalny opis (angielski, źródło NVD)

deepobj provides get, set, delete deep objects in javascript. Prior to 1.0.3, prototype pollution is possible when property paths contain __proto__/constructor/prototype. The property path must not be exposed as user input. This vulnerability is fixed in 1.0.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS