CVE-2026-33993 in locutus정보

요약

\~에 의해 VulDB • 2026. 05. 15.

Locutus는 교육 목적으로 다른 프로그래밍 언어의 표준 라이브러리(stdlibs)를 JavaScript로 가져옵니다. 버전 3.0.25 이전의 `locutus/php/var/unserialize`에 있는 `unserialize()` 함수는 `__proto__` 키를 필터링하지 않고 대괄기 표기법(bracket notation)을 통해 역직렬화된 키를 일반 객체에 할당합니다. PHP 직렬화 페이로드에 배열 또는 객체 키로 `__proto__`가 포함된 경우 JavaScript의 `__proto__` 세터가 호출되어 역직렬화된 객체의 프로토타입이 공격자가 제어하는 콘텐츠로 대체됩니다. 이를 통해 속성 주입, 주입된 속성의 for...in 전파, 내장 메서드 재정의에 의한 서비스 거부(Denial of Service)가 가능합니다. 이는 이전에 보고된 `parse_str`의 프로토타입 오염(GHSA-f98m-q3hr-p5wq, GHSA-rxrv-835q-v5mh)과 구별됩니다. `unserialize`는 별도의 함수이며 적용된 완화 조치가 없습니다. 버전 3.0.25에서 해당 문제가 패치되었습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 03. 24.

모더레이션

수락

항목

VDB-354058

EPSS

0.00583

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!