CVE-2026-33993 in locutusinformation

Résumé

par VulDB • 15/05/2026

Locutus apporte les bibliothèques standard (stdlibs) d'autres langages de programmation à JavaScript à des fins éducatives. Avant la version 3.0.25, la fonction `unserialize()` dans `locutus/php/var/unserialize` attribue les clés désérialisées aux objets simples via la notation entre crochets sans filtrer la clé `__proto__`. Lorsqu'une charge utile sérialisée PHP contient `__proto__` en tant que clé de tableau ou d'objet, le setter `__proto__` de JavaScript est invoqué, remplaçant le prototype de l'objet désérialisé par du contenu contrôlé par l'attaquant. Cela permet l'injection de propriétés, la propagation des propriétés injectées via `for...in`, et une déni de service (DoS) via la substitution de méthodes intégrées. Ce problème est distinct de la pollution de prototype précédemment signalée dans `parse_str` (GHSA-f98m-q3hr-p5wq, GHSA-rxrv-835q-v5mh) : `unserialize` est une fonction différente pour laquelle aucune mitigation n'a été appliquée. La version 3.0.25 corrige le problème.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Réserver

24/03/2026

Divulgation

28/03/2026

Modérer

accepté

Entrée

VDB-354058

CPE

prêt

EPSS

0.00583

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!