CVE-2026-33994 in locutusinformação

Sumário

de VulDB • 02/06/2026

Locutus traz as bibliotecas padrão (stdlibs) de outras linguagens de programação para JavaScript com fins educacionais. A partir da versão 2.0.39 e até a versão 3.0.25, existe uma vulnerabilidade de poluição de protótipo na função `parse_str` do pacote npm locutus. Um atacante pode poluir `Object.prototype` sobrescrevendo `RegExp.prototype.test` e, em seguida, passando uma string de consulta manipulada para `parse_str`, contornando a proteção contra poluição de protótipo. Esta vulnerabilidade decorre de uma correção incompleta para CVE-2026-25521. O patch do CVE-2026-25521 substituiu a proteção baseada em `String.prototype.includes()` por uma proteção baseada em `RegExp.prototype.test()`. No entanto, `RegExp.prototype.test` é, por si só, um método de protótipo gravável que pode ser sobrescrito, tornando a nova proteção contornável da mesma forma que a original — trocando um built-in hijackável por outro. A versão 3.0.25 contém uma correção atualizada.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

24/03/2026

Divulgação

28/03/2026

Moderação

aceite

Entrada

VDB-354066

CPE

pronto

EPSS

0.00559

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!