关键信息 漏洞名称: Prototype pollution in merge (<<) Severity: - Moderate (5.3/10) 受影响版本: - < 4.1.0 修复版本: - 4.1.1 Cvss V3 Base Metrics: - Attack vector: Network - Attack complexity: Low - Privileges required: None - User interaction: None - Scope: Unchanged - Confidentiality: None - Integrity: Low - Availability: None CVE ID: CVE-2025-64718 影响: - 在 js-yaml 4.1.0 及以下版本中,攻击者可以通过原型污染(__proto__)修改解析的 YAML 文档结果的原型。所有解析不受信任的 YAML 文档的用户都可能受到影响。 修补措施: - 问题在 js-yaml 4.1.1 中已修复。 解决方法: - 可以阻止这种攻击发生在服务器上,通过使用 或 (在 Deno 中,污染防护默认已开启)。 引用: - https://cheatsheetseries.owasp.org/cheatsheets/Prototype_Pollution_Prevention_Cheat_Sheet\.html