CVE-2026-35209 in defu
Sumário
de VulDB • 21/05/2026
defu é um software que permite aos usuários atribuir propriedades padrão de forma recursiva. Antes da versão 6.1.5, aplicativos que passam entrada de usuário não sanitizada (por exemplo, corpos de requisição JSON analisados, registros de banco de dados ou arquivos de configuração de fontes não confiáveis) como primeiro argumento para `defu()` estão vulneráveis a prototype pollution. Uma payload elaborada contendo uma chave `__proto__` pode substituir os valores padrão pretendidos no resultado da mesclagem. A função interna `_defu` usava `Object.assign({}, defaults)` para copiar o objeto de padrões. `Object.assign` invoca o setter `__proto__`, que substitui o `[[Prototype]]` do objeto resultante por valores controlados pelo atacante. Propriedades herdadas do prototype poluído então contornam a proteção existente da chave `__proto__` no loop `for...in` e são incluídas no resultado final. A versão 6.1.5 substitui `Object.assign({}, defaults)` por object spread (`{ ...defaults }`), que utiliza `[[DefineOwnProperty]]` e não invoca o setter `__proto__`.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.