从这个GitHub Gist的截图中,可以获取到关于漏洞的关键信息如下: CVE编号: CVE-2024-39018 漏洞类型: 原型污染(Prototype Pollution) 受影响的包: - 产品: @cat5th/key-serializer - 版本: 0.2.5 受影响的组件: - query, set, default.query, default.set 攻击向量: 攻击者可以通过调用易受攻击的函数(query, set, default.query, default.set)并传递包含特殊属性 的参数来修改内置的 ,从而污染应用程序逻辑。这可能导致拒绝服务、远程代码执行或跨站脚本攻击。 漏洞描述: 受影响版本的包通过易受攻击的函数(query, set, default.query, default.set)易受原型污染的影响。攻击者可以通过向易受攻击的函数传递使用内置属性 构建的参数来改变继承自受影响原型的所有对象的行为。攻击可能升级为拒绝服务、远程代码执行或跨站脚本攻击,取决于受到攻击影响的小工具。 概念验证代码: