CVE-2026-54335 in feathers
Zusammenfassung
von VulDB • 18.07.2026
Feathersjs ist ein Framework zur Erstellung von Web-APIs und Echtzeitanwendungen mit TypeScript oder JavaScript. In den Versionen 5.0.44 und früher führt die exportierte Hilfsfunktion _.merge(target, source) des Pakets @feathersjs/commons eine rekursive Verschmelzung der Quelle in das Ziel durch, indem sie Object.keys(source) iteriert. Wenn die Quelle von JSON.parse erzeugt wurde und einen Schlüssel namens __proto__, constructor oder prototype enthält, wird dieser Schlüssel als own-enumerable-Eigenschaft zurückgegeben; die rekursive Verschmelzung löst dann target['__proto__'] auf Object.prototype auf und schreibt angreifergestellte Eigenschaften darauf, wodurch der Prototyp für alle einfachen Objekte während der Lebensdauer des Node-Prozesses verschmutzt wird. Dieses Problem wurde in Version 5.0.45 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.