关键信息总结 漏洞概述 漏洞类型: Prototype Pollution Vulnerability 可能后果: May Lead to RCE (Remote Code Execution) CVE ID: CVE-2025-55164 CVSS v4 基本评分: 8.8/10 影响范围 受影响版本: <0.5.0 修复版本: 0.6.0 描述与影响 描述: 存在于 版本 0.5.0 及更早版本中的原型污染漏洞,允许通过提供名为 的策略名称来覆盖对象原型。 示例代码: 输出: 潜在风险: 虽然该库本身没有利用此漏洞的工具,但其他库可能暴露功能导致远程代码执行。最常见的影响是拒绝服务。 修复与缓解措施 修复: 已在一年前(2024年1月11日)发布补丁,但修补版本的采用率低,仅17%的每周下载量为已修补版本。 工作区绕过: 在 Node.js 中禁用原型方法可以中和所有可能的原型污染攻击。提供 或 参数给 node 启用此功能。 引用与致谢 问题揭示: 2024年1月26日的问题揭示 修复提交: 修复问题的提交记录 发现者: @pnappa (Patrick Nappa) 修复开发者: @EvanHahn