CVE-2026-54335 in feathers
요약
\~에 의해 VulDB • 2026. 07. 18.
Feathersjs는 TypeScript 또는 JavaScript로 웹 API 및 실시간 애플리케이션을 생성하기 위한 프레임워크입니다. 버전 5.0.44 및 그 이전 버전에서 @feathersjs/commons가 내보내는 _.merge(target, source) 유틸리티는 Object.keys(source)를 반복하여 소스를 대상에 재귀적으로 병합합니다. 소스가 JSON.parse로 생성되었고 __proto__, constructor 또는 prototype 키를 포함하는 경우, 해당 키는 자체 열거 가능한 속성으로 반환됩니다. 이후 재귀적 병합 과정에서 target['__proto__']가 Object.prototype을 참조하게 되고 공격자가 제공한 속성이 여기에 작성되어 Node 프로세스의 수명 동안 모든 일반 객체의 프로토타입이 오염됩니다. 이 문제는 버전 5.0.45에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.