一、 漏洞 CVE-2025-62381 基础信息
漏洞信息
                                        # SvelteKit Superforms `parseFormData` 原型污染漏洞

## 概述

sveltekit-superforms 是一个用于简化 SvelteKit 表单处理的库。在版本 v2.27.3 及之前中,`formData.js` 文件中的 `parseFormData` 函数存在 **原型污染(prototype pollution)** 漏洞。

## 影响版本

- **受影响版本**:v2.27.3 及更早版本

## 细节

- 漏洞出现在 `parseFormData` 函数中,攻击者可以通过精心构造的输入污染 `Object.prototype`。
- 允许注入字符串和数组属性到对象原型中,可能导致应用程序出现异常行为。

## 影响

- 可能导致 **拒绝服务(DoS)**。
- 引发 **类型混淆(type confusion)**。
- 在某些情况下可能造成 **远程代码执行(RCE)**,尤其是依赖被污染对象的下游应用。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
sveltekit-superforms Prototype Pollution in `parseFormData` function of `formData.js`
来源:美国国家漏洞数据库 NVD
漏洞描述信息
sveltekit-superforms makes SvelteKit forms a pleasure to use. sveltekit-superforms v2.27.3 and prior are susceptible to a prototype pollution vulnerability within the parseFormData function of formData.js. An attacker can inject string and array properties into Object.prototype, leading to denial of service, type confusion, and potential remote code execution in downstream applications that rely on polluted objects. This vulnerability is fixed in 2.27.4.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
SvelteKit 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SvelteKit是Svelte开源的一套Web 开发框架。 SvelteKit 2.27.3及之前版本存在安全漏洞,该漏洞源于formData.js中parseFormData函数存在原型污染,可能导致拒绝服务、类型混淆和潜在远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62381 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-62381 的情报信息

  • 标题: Prototype Pollution in `parseFormData` function of `formData.js` · Advisory · ciscoheat/sveltekit-superforms · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Prototype Pollution in `parseFormData` function of `formData.js` · Advisory · ciscoheat/sveltekit-superforms · GitHub

  • 标题: Fixed prototype pollution when using dataType: 'json' · ciscoheat/sveltekit-superforms@4a1310d · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Fixed prototype pollution when using dataType: 'json' · ciscoheat/sveltekit-superforms@4a1310d · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-62381
四、漏洞 CVE-2025-62381 的评论

暂无评论

发表评论