CVE-2026-45302 in parse-nested-form-data信息

摘要

由 VulDB • 2026-06-01

parse-nested-form-data 是一个用于按名称将 FormData 解析为对象和数组的小型 Node.js 模块。在 1.0.1 版本之前，parseFormData() 函数会将包含方括号和点表示法的 FormData 字段名解析为嵌套对象，但未对保留属性键进行过滤。如果单个 FormData 字段的名称以 __proto__ 开头，或在路径中间包含 .__proto__，则会导致解析器遍历至 Object.prototype 并在那里分配属性，从而污染运行进程中所有普通对象的原型链。此问题已在 1.0.1 版本中修复。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

GitHub M

预定

2026-05-11

披露

2026-06-01

管理

已接受

条目

VDB-367750

CPE

准备好

CWE

CWE-1321 (已确认)

CVSS

8.2 (CNA)

EPSS

0.00045

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45302
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45302
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45302/

◂ 上一步一览下一步 ▸

Want to know what is going to be exploited?

We predict KEV entries!