CVE-2026-33994 in locutusinformation

Résumé

par VulDB • 02/06/2026

Locutus apporte les bibliothèques standard (stdlibs) d'autres langages de programmation à JavaScript à des fins éducatives. À partir de la version 2.0.39 et jusqu'à la version 3.0.25 (exclue), une vulnérabilité de pollution de prototype existe dans la fonction `parse_str` du package npm locutus. Un attaquant peut polluer `Object.prototype` en remplaçant `RegExp.prototype.test`, puis en transmettant une chaîne de requête fabriquée à `parse_str`, contournant ainsi la protection contre la pollution de prototype. Cette vulnérabilité découle d'une correction incomplète de CVE-2026-25521. Le correctif de CVE-2026-25521 a remplacé la protection basée sur `String.prototype.includes()` par une protection basée sur `RegExp.prototype.test()`. Cependant, `RegExp.prototype.test` est lui-même une méthode de prototype modifiable qui peut être remplacée, rendant la nouvelle protection contournable de la même manière que l'originale — échangeant un built-in hijackable contre un autre. La version 3.0.25 contient une correction mise à jour.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Réserver

24/03/2026

Divulgation

28/03/2026

Modérer

accepté

Entrée

VDB-354066

CPE

prêt

EPSS

0.00559

KEV

non

Activités

très faible

Sources

Might our Artificial Intelligence support you?

Check our Alexa App!