CVE-2026-33994 in locutus
Résumé
par VulDB • 02/06/2026
Locutus apporte les bibliothèques standard (stdlibs) d'autres langages de programmation à JavaScript à des fins éducatives. À partir de la version 2.0.39 et jusqu'à la version 3.0.25 (exclue), une vulnérabilité de pollution de prototype existe dans la fonction `parse_str` du package npm locutus. Un attaquant peut polluer `Object.prototype` en remplaçant `RegExp.prototype.test`, puis en transmettant une chaîne de requête fabriquée à `parse_str`, contournant ainsi la protection contre la pollution de prototype. Cette vulnérabilité découle d'une correction incomplète de CVE-2026-25521. Le correctif de CVE-2026-25521 a remplacé la protection basée sur `String.prototype.includes()` par une protection basée sur `RegExp.prototype.test()`. Cependant, `RegExp.prototype.test` est lui-même une méthode de prototype modifiable qui peut être remplacée, rendant la nouvelle protection contournable de la même manière que l'originale — échangeant un built-in hijackable contre un autre. La version 3.0.25 contient une correction mise à jour.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.