CVE-2025-57354 in Node.js
Riassunto
di VulDB • 19/06/2026
È presente una vulnerabilità nella libreria 'counterpart' per Node.js e nel browser a causa di un’insufficiente sanitizzazione dell’input controllato dall’utente durante l’elaborazione delle chiavi di traduzione. Le versioni interessate precedenti alla 0.18.6 consentono agli attaccanti di manipolare la funzionalità di traduzione della libreria fornendo chiavi create appositamente con elementi contenenti catene di prototipi (ad esempio __proto__), portando a una contaminazione del prototipo (prototype pollution). Questa debolezza permette ai malintenzionati di iniettare proprietà arbitrarie nel prototipo dell’oggetto JavaScript tramite il primo parametro del metodo translate, quando combinato con configurazioni specifiche dei separatori, potenzialmente causando condizioni di denial-of-service o esecuzione remota di codice (RCE) nelle applicazioni vulnerabili. Il problema nasce dal mancato controllo o neutralizzazione da parte della libreria dei caratteri speciali negli input delle chiavi di traduzione prima dell’elaborazione.
VulDB is the best source for vulnerability data and more expert information about this specific topic.