CVE-2025-57353 in messageformat
الملخص
بحسب VulDB • 11/07/2026
تحتوي مكونات وقت التشغيل (Runtime components) لحزمة messageformat لـ Node.js قبل الإصدار 3.0.2 على ثغرة تلوث النموذج الأولي (Prototype Pollution). ونظراً لقصور في التحقق من صحة مفاتيح الرسائل المتداخلة أثناء معالجة بيانات الرسالة، يمكن لمهاجم التلاعب بسلسلة النماذج الأولية (prototype chain) لكائنات جافا سكريبت عن طريق تقديم مدخلات مُعدّة بعناية فائقة. قد يؤدي ذلك إلى حقن خصائص تعسفية في Object.prototype، مما قد يتسبب في ظروف حجب الخدمة أو سلوك غير متوقع للتطبيق. تتيح الثغرة للمهاجمين تغيير نموذج الكائن الأساسي (prototype of base objects)، مما يؤثر على جميع مثيلات الكائنات اللاحقة طوال دورة حياة التطبيق.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.