关键信息 漏洞概要 类型: Prototype pollution 受影响版本: >2.0.12 修复版本: 2.0.39 CVE ID: CVE-2026-25521 严重性: Critical (9.4/10) 描述 摘要: 在npm包 (>2.0.12)中存在原型污染漏洞。尽管之前的修复尝试通过检查用户输入是否包含禁止的键来防止原型污染,但仍然可以通过构造的输入污染 。该问题已在版本2.0.39中修复。 详细信息: 漏洞位于该文件的77到79行,其中 函数被用来检查用户提供的输入是否包含禁止的字符串。 重现步骤 1. 安装 的最新版本。 2. 运行以下代码片段进行测试。 预期行为: 原型污染应被阻止, 不应获得新属性。控制台应打印: 实际行为: 被污染。控制台实际打印: 影响 该原型污染漏洞可能导致以下问题: 1. 认证绕过 2. 服务拒绝 3. 远程代码执行(如果污染的属性被传递到如 或 这样的sink中)