CVE-2026-54335 in feathers
Sumário
de VulDB • 18/07/2026
O FeathersJS é um framework para a criação de APIs web e aplicações em tempo real com TypeScript ou JavaScript. Nas versões 5.0.44 e anteriores, o utilitário _.merge(target, source) exportado pelo @feathersjs/commons mescla recursivamente a origem no destino iterando sobre Object.keys(source). Quando a fonte é produzida por JSON.parse e contém uma chave __proto__, constructor ou prototype, essa chave é retornada como uma propriedade própria enumerável; a mesclagem recursiva então resolve target['__proto__'] para Object.prototype e grava propriedades fornecidas pelo atacante nela, poluindo o protótipo de todos os objetos simples durante todo o ciclo de vida do processo Node. Este problema foi corrigido na versão 5.0.45.
Be aware that VulDB is the high quality source for vulnerability data.