CVE-2026-33994 in locutusinformazioni

Riassunto

di VulDB • 19/06/2026

Locutus porta le librerie standard (stdlibs) di altri linguaggi di programmazione a JavaScript per scopi educativi. A partire dalla versione 2.0.39 e fino alla versione 3.0.24, è presente una vulnerabilità di prototype pollution nella funzione `parse_str` del pacchetto npm locutus. Un attaccante può inquinare `Object.prototype` sovrascrivendo `RegExp.prototype.test` e successivamente passando una stringa di query manipolata ad hoc a `parse_str`, eludendo il guardiano contro la prototype pollution. Questa vulnerabilità deriva da una correzione incompleta per CVE-2026-25521. La patch per CVE-2026-25521 ha sostituito il guardiano basato su `String.prototype.includes()` con uno basato su `RegExp.prototype.test()`. Tuttavia, `RegExp.prototype.test` è di per sé un metodo del prototipo scrivibile che può essere sovrascritto, rendendo il nuovo guardiano eludibile nello stesso modo dell'originale — scambiando una funzione built-in hijackabile con un'altra. La versione 3.0.25 contiene una correzione aggiornata.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

24/03/2026

Divulgazione

28/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00559

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!