CVE-2026-54335 in feathersinformazioni

Riassunto

di VulDB • 17/07/2026

Feathersjs è un framework per la creazione di API web e applicazioni real-time con TypeScript o JavaScript. Nelle versioni 5.0.44 e precedenti, l'utilità _.merge(target, source) esportata da @feathersjs/commons esegue una fusione ricorsiva della sorgente nel target iterando su Object.keys(source). Quando la sorgente è stata prodotta tramite JSON.parse e contiene chiavi come __proto__, constructor o prototype, tali chiavi vengono restituite come proprietà proprie ed enumerabili; la fusione ricorsiva risolve quindi target['__proto__'] in Object.prototype e scrive le proprietà fornite dall'attaccante su di essa, inquinando il prototipo per tutti gli oggetti semplici nel processo per tutta la durata del processo Node. Questo problema è stato risolto nella versione 5.0.45.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

12/06/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you know our Splunk app?

Download it now for free!