VDB-329707 · CVE-2025-62517 · GHSA-xcg2-9pp4-j82x

rollbar.js bis 2.26.4/3.0.0-beta4 merge

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
4.7	$0-$5k	0.00

Zusammenfassunginfo

In rollbar.js bis 2.26.4/3.0.0-beta4 wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Dies betrifft die Funktion merge. Durch Manipulieren mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2025-62517 gelistet. Der Angriff kann über das Netzwerk erfolgen. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.

Detailsinfo

In rollbar.js bis 2.26.4/3.0.0-beta4 wurde eine problematische Schwachstelle entdeckt. CWE definiert das Problem als CWE-1321. Die Auswirkungen sind bekannt für die Integrität. Die Zusammenfassung von CVE lautet:

Rollbar.js offers error tracking and logging from Javascript to Rollbar. In versions before 2.26.5 and from 3.0.0-alpha1 to before 3.0.0-beta5, there is a prototype pollution vulnerability in merge(). If application code calls rollbar.configure() with untrusted input, prototype pollution is possible. This issue has been fixed in versions 2.26.5 and 3.0.0-beta5. A workaround involves ensuring that values passed to rollbar.configure() do not contain untrusted input.

Das Advisory findet sich auf github.com. Die Verwundbarkeit wird seit dem 15.10.2025 als CVE-2025-62517 geführt. Sie gilt als schwierig ausnutzbar. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1059 bezeichnet.

Ein Aktualisieren auf die Version 2.26.5 oder 3.0.0-beta5 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 61032fe6c208b71e249514800808a54bcb8cb8bb lösen. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Produktinfo

Typ

JavaScript Library

Name

rollbar.js

Version

Lizenz

Open-Source

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.8
VulDB Meta Temp Score: 4.7

VulDB Base Score: 3.7
VulDB Temp Score: 3.6
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA Base Score: 5.9
CNA Vector (GitHub_M): 🔒

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Unbekannt
CWE: CWE-1321 / CWE-94 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: rollbar.js 2.26.5/3.0.0-beta5
Patch: 61032fe6c208b71e249514800808a54bcb8cb8bb

Timelineinfo

15.10.2025 CVE zugewiesen
23.10.2025 +8 Tage VulDB Eintrag erstellt
24.10.2025 +0 Tage Advisory veröffentlicht
24.10.2025 +0 Tage VulDB Eintrag letzte Aktualisierung