CVE-2026-45302 in parse-nested-form-data정보

요약

\~에 의해 VulDB • 2026. 06. 01.

parse-nested-form-data는 FormData를 이름별로 객체 및 배열로 파싱하기 위한 경량 Node.js 모듈입니다. 버전 1.0.1 이전의 parseFormData()는 대괄기호(bracket) 및 점 표기법(dot-notation) FormData 필드 이름을 필터링 없이 중첩된 객체로 변환합니다. 이름이 __proto__로 시작하거나 경로 중간에 .__proto__.을 포함하는 단일 FormData 필드는 파서가 Object.prototype을 탐색하여 해당 위치에 속성을 할당하도록 유도하며, 이는 실행 중인 프로세스 내 모든 일반 객체의 프로토타입 체인을 오염시킵니다. 이 문제는 버전 1.0.1에서 패치되었습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

GitHub M

예약하다

2026. 05. 11.

공개

2026. 06. 01.

모더레이션

수락

항목

VDB-367750

CPE

준비됨

CWE

CWE-1321 (확인됨)

CVSS

8.2 (CNA)

EPSS

0.00045

KEV

아니요

활동

매우 낮음

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45302
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45302
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45302/

◂ 이전 개요 다음 ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!