关键信息 漏洞概述 漏洞类型: Prototype Pollution (原型污染) 受影响版本: < 12.5.1 修复版本: 12.5.1 严重性: Moderate (中等) 影响 描述: 攻击者可以通过控制 函数的 参数来修改 JavaScript 运行时中所有对象的原型,导致意外行为、拒绝服务或在某些特定场景下远程代码执行。 修复措施 修复提交: 8147abc8cfc3cfe9b9a17cd389076a5d97235a66 修复方法: 引入新的辅助函数 来防止使用 , , 或 作为路径中的键。如果遇到这些键,则抛出错误。 解决方案 升级版本: 用户应升级到包含上述修复提交的 Radashi 版本。 临时解决方法: 对于旧版本用户,可以通过清理 函数提供的 参数来缓解此漏洞,确保路径字符串中不包含 , , 或 。 参考资料 Git 提交: 8147abc8cfc3cfe9b9a17cd389076a5d97235a66 CWE-1321: Improperly Controlled Modification of Dynamically-Determined Object Attributes ('Prototype Pollution')