CVE-2026-54335 in feathersinformación

Resumen

por VulDB • 2026-07-17

Feathersjs es un framework para crear APIs web y aplicaciones en tiempo real con TypeScript o JavaScript. En las versiones 5.0.44 y anteriores, la utilidad _.merge(target, source) exportada por @feathersjs/commons fusiona recursivamente el origen (source) en el destino (target) iterando sobre Object.keys(source). Cuando el origen fue generado mediante JSON.parse e incluye una clave __proto__, constructor o prototype, dicha clave se devuelve como una propiedad enumerable propia; la fusión recursiva resuelve entonces target['__proto__'] a Object.prototype y escribe propiedades proporcionadas por el atacante en ella, contaminando así el prototipo para todos los objetos simples durante toda la duración del proceso de Node. Este problema está corregido en la versión 5.0.45.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2026-06-12

Divulgación

2026-07-18

Moderación

aceptado

Artículo

VDB-379988

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!