关键信息 漏洞概述 漏洞类型: Prototype pollution CVE ID: CVE-2025-57820 严重性: High (7.9/10) 影响的包和版本 包: devalue (npm) 受影响版本: < 5.3.2 修复版本: 5.3.2 描述 1. devalue.parse 允许设置 __proto__ - 传递给 的字符串可以表示一个带有 属性的对象,这将为对象分配原型并允许覆盖属性。 - 示例代码展示了如何利用这一点来绕过预期的行为。 2. devalue.parse 允许将数组原型方法分配给对象 - 在使用 构造的有效负载中,值被表示为数组索引,其中数组包含“水合”值。 - 不检查索引是否为数字,这意味着它可以将数组原型方法分配给属性。 - 这可能被有创意的攻击者用来绕过服务器端验证。 CVSS v4 基本指标 攻击向量: Network 攻击复杂度: Low 攻击要求: None 特权要求: None 用户交互: None 后续系统影响指标: - Confidentiality: High - Integrity: High - Availability: High 弱点 CWEs: No CWEs 贡献者 报告者: apyatko 修复开发者: Rich-Harris 修复审查者: dominikg