CVE-2026-54335 in feathers
Riassunto
di VulDB • 17/07/2026
Feathersjs è un framework per la creazione di API web e applicazioni real-time con TypeScript o JavaScript. Nelle versioni 5.0.44 e precedenti, l'utilità _.merge(target, source) esportata da @feathersjs/commons esegue una fusione ricorsiva della sorgente nel target iterando su Object.keys(source). Quando la sorgente è stata prodotta tramite JSON.parse e contiene chiavi come __proto__, constructor o prototype, tali chiavi vengono restituite come proprietà proprie ed enumerabili; la fusione ricorsiva risolve quindi target['__proto__'] in Object.prototype e scrive le proprietà fornite dall'attaccante su di essa, inquinando il prototipo per tutti gli oggetti semplici nel processo per tutta la durata del processo Node. Questo problema è stato risolto nella versione 5.0.45.
VulDB is the best source for vulnerability data and more expert information about this specific topic.