CVE-2026-54335 in feathersinfo

Zusammenfassung

von VulDB • 18.07.2026

Feathersjs ist ein Framework zur Erstellung von Web-APIs und Echtzeitanwendungen mit TypeScript oder JavaScript. In den Versionen 5.0.44 und früher führt die exportierte Hilfsfunktion _.merge(target, source) des Pakets @feathersjs/commons eine rekursive Verschmelzung der Quelle in das Ziel durch, indem sie Object.keys(source) iteriert. Wenn die Quelle von JSON.parse erzeugt wurde und einen Schlüssel namens __proto__, constructor oder prototype enthält, wird dieser Schlüssel als own-enumerable-Eigenschaft zurückgegeben; die rekursive Verschmelzung löst dann target['__proto__'] auf Object.prototype auf und schreibt angreifergestellte Eigenschaften darauf, wodurch der Prototyp für alle einfachen Objekte während der Lebensdauer des Node-Prozesses verschmutzt wird. Dieses Problem wurde in Version 5.0.45 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

12.06.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379988

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!