一、 漏洞 CVE-2025-62517 基础信息
漏洞信息
                                        # Rollbar.js merge() 原型污染漏洞

## 概述

Rollbar.js 是一个用于 JavaScript 错误追踪和日志上报的库。其 `merge()` 方法存在 **原型污染** 漏洞,攻击者可利用该漏洞修改对象原型,进而影响应用程序行为。

## 影响版本

- **< 2.26.5**
- **3.0.0-alpha1 ≤ 版本 < 3.0.0-beta5**

## 漏洞细节

当应用代码使用 `rollbar.configure()` 方法并传入**不受信任的输入**时,`merge()` 方法未能正确处理对象合并,导致攻击者可能通过构造恶意输入污染 JavaScript 原型链。

## 影响

成功利用此漏洞可导致:

- 修改现有对象的行为
- 引发程序逻辑异常
- 潜在的远程代码执行(视具体环境而定)

## 修复方式

- 升级到 **2.26.5** 或更高版本
- 或升级到 **3.0.0-beta5** 及以上版本

## 缓解措施

若无法立即升级,应确保传入 `rollbar.configure()` 的参数**不包含任何用户可控或不受信任的数据**。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Rollbar.js Prototype Pollution Vulnerability in merge()
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Rollbar.js offers error tracking and logging from Javascript to Rollbar. In versions before 2.26.5 and from 3.0.0-alpha1 to before 3.0.0-beta5, there is a prototype pollution vulnerability in merge(). If application code calls rollbar.configure() with untrusted input, prototype pollution is possible. This issue has been fixed in versions 2.26.5 and 3.0.0-beta5. A workaround involves ensuring that values passed to rollbar.configure() do not contain untrusted input.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Rollbar.js 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Rollbar.js是Rollbar开源的一个从错误跟踪和日志记录库。 Rollbar.js 2.26.5之前版本和3.0.0-alpha1至3.0.0-beta5之前版本存在安全漏洞,该漏洞源于merge函数存在原型污染,可能导致恶意输入污染原型链。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62517 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-62517 的情报信息

  • 标题: Prototype pollution prevention by waltjones · Pull Request #1390 · rollbar/rollbar.js · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Prototype pollution prevention by waltjones · Pull Request #1390 · rollbar/rollbar.js · GitHub

  • 标题: prototype pollution prevention by waltjones · Pull Request #1394 · rollbar/rollbar.js · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    prototype pollution prevention by waltjones · Pull Request #1394 · rollbar/rollbar.js · GitHub

  • 标题: Prototype Pollution in merge() · Advisory · rollbar/rollbar.js · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Prototype Pollution in merge() · Advisory · rollbar/rollbar.js · GitHub

  • 标题: prototype pollution prevention (#1390) · rollbar/rollbar.js@61032fe · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    prototype pollution prevention (#1390) · rollbar/rollbar.js@61032fe · GitHub

  • 标题: prototype pollution prevention (#1394) · rollbar/rollbar.js@d717def · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    prototype pollution prevention (#1394) · rollbar/rollbar.js@d717def · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-62517
四、漏洞 CVE-2025-62517 的评论

暂无评论

发表评论