CVE-2026-33993 in locutusinformazioni

Riassunto

di VulDB • 19/06/2026

Locutus porta le librerie standard (stdlibs) di altri linguaggi di programmazione in JavaScript a scopo educativo. Prima della versione 3.0.25, la funzione `unserialize()` in `locutus/php/var/unserialize` assegna le chiavi deserializzate agli oggetti plain tramite la notazione tra parentesi quadre senza filtrare la chiave `__proto__`. Quando un payload serializzato PHP contiene `__proto__` come chiave di un array o di un oggetto, viene invocato il setter `__proto__` di JavaScript, sostituendo il prototype dell'oggetto deserializzato con contenuti controllati dall'attaccante. Ciò consente l'iniezione di proprietà, la propagazione delle proprietà iniettate tramite `for...in` e un denial of service (DoS) tramite l'override di metodi built-in. Questo caso è distinto dall'ormai segnalato prototype pollution in `parse_str` (GHSA-f98m-q3hr-p5wq, GHSA-rxrv-835q-v5mh): `unserialize` è una funzione diversa per la quale non è stata applicata alcuna mitigazione. La versione 3.0.25 risolve la vulnerabilità.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

24/03/2026

Divulgazione

28/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00583

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!