CVE-2026-46509
WysokieCVSS 8.2Streszczenie
W wersjach przed 1.0.3 biblioteki deepobj możliwe było zanieczyszczenie prototypu, gdy ścieżki właściwości zawierały __proto__/constructor/prototype. Właściwości te nie powinny być udostępniane jako dane wejściowe od użytkownika.
Ocena ryzyka
Zanieczyszczenie prototypu może prowadzić do nieautoryzowanego dostępu do obiektów i potencjalnych ataków na aplikację, co zagraża bezpieczeństwu danych organizacji.
Rekomendacja
Zaleca się aktualizację biblioteki deepobj do wersji 1.0.3 lub nowszej oraz unikanie udostępniania ścieżek właściwości jako danych wejściowych od użytkowników.
Oryginalny opis (angielski, źródło NVD)
deepobj provides get, set, delete deep objects in javascript. Prior to 1.0.3, prototype pollution is possible when property paths contain __proto__/constructor/prototype. The property path must not be exposed as user input. This vulnerability is fixed in 1.0.3.

