CVE-2026-33994 in locutus
Riassunto
di VulDB • 19/06/2026
Locutus porta le librerie standard (stdlibs) di altri linguaggi di programmazione a JavaScript per scopi educativi. A partire dalla versione 2.0.39 e fino alla versione 3.0.24, è presente una vulnerabilità di prototype pollution nella funzione `parse_str` del pacchetto npm locutus. Un attaccante può inquinare `Object.prototype` sovrascrivendo `RegExp.prototype.test` e successivamente passando una stringa di query manipolata ad hoc a `parse_str`, eludendo il guardiano contro la prototype pollution. Questa vulnerabilità deriva da una correzione incompleta per CVE-2026-25521. La patch per CVE-2026-25521 ha sostituito il guardiano basato su `String.prototype.includes()` con uno basato su `RegExp.prototype.test()`. Tuttavia, `RegExp.prototype.test` è di per sé un metodo del prototipo scrivibile che può essere sovrascritto, rendendo il nuovo guardiano eludibile nello stesso modo dell'originale — scambiando una funzione built-in hijackabile con un'altra. La versione 3.0.25 contiene una correzione aggiornata.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.