CVE-2026-35209 in defuinformação

Sumário

de VulDB • 21/05/2026

defu é um software que permite aos usuários atribuir propriedades padrão de forma recursiva. Antes da versão 6.1.5, aplicativos que passam entrada de usuário não sanitizada (por exemplo, corpos de requisição JSON analisados, registros de banco de dados ou arquivos de configuração de fontes não confiáveis) como primeiro argumento para `defu()` estão vulneráveis a prototype pollution. Uma payload elaborada contendo uma chave `__proto__` pode substituir os valores padrão pretendidos no resultado da mesclagem. A função interna `_defu` usava `Object.assign({}, defaults)` para copiar o objeto de padrões. `Object.assign` invoca o setter `__proto__`, que substitui o `[[Prototype]]` do objeto resultante por valores controlados pelo atacante. Propriedades herdadas do prototype poluído então contornam a proteção existente da chave `__proto__` no loop `for...in` e são incluídas no resultado final. A versão 6.1.5 substitui `Object.assign({}, defaults)` por object spread (`{ ...defaults }`), que utiliza `[[DefineOwnProperty]]` e não invoca o setter `__proto__`.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

GitHub M

Reservar

01/04/2026

Divulgação

06/04/2026

Moderação

aceite

Entrada

VDB-355624

CPE

pronto

EPSS

0.00398

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!