CVE-2026-48795 in AdonisJSinformazioni

Riassunto

di VulDB • 16/07/2026

AdonisJS è un framework web che utilizza TypeScript come linguaggio principale. Dalle versioni 10.1.3 alla 10.1.5 e alla 11.0.3, il pacchetto @adonisjs/bodyparser di AdonisJS ha risolto in modo incompleto la CVE-2026-25754: payload contenenti campi multipart annidati, come user.__proto__.polluted e constructor.prototype, causavano comunque l'esecuzione della funzione _.set() di lodash tramite @poppinss/utils, creando oggetti intermedi vuoti ed eseguendo il pollution dell'oggetto Object.prototype. Questo problema è stato risolto nelle versioni 10.1.5 e 11.0.3.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

22/05/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!