漏洞信息 漏洞类型: Prototype Pollution CVE ID: CVE-2026-25754 漏洞描述: AdonisJS multipart form-data处理中的原型污染漏洞(CWE-1321),可能允许远程攻击者在运行时操控对象原型。该漏洞影响 版本10.1.2及之前,以及11.0.0-next.8之前的 prerelease 版本。 关键信息: 受影响版本: - <=10.1.2 - <=11.0.0-next.8 已修复版本: - 10.1.3 - 11.0.0-next.9 严重性: CVSS v3严重性: 7.2/10 (高) CVSS v3基本指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 权限要求: 无 - 用户交互: 无 - 范围: 变更 - 机密性影响: 低 - 完整性影响: 低 - 可用性影响: 无 漏洞细节: 该漏洞通过解析multipart请求中的表单字段名来构建JavaScript对象,不充分的字段名验证使攻击者能够直接为解析期间创建的对象分配保留属性名,导致原型污染。 影响: 利用此漏洞需要一个接受并解析multipart/form-data请求的应用程序端点,可能导致意外行为、逻辑绕过或安全问题。 修复措施: 用户应升级到包含修复的版本: v10.1.3 v11.0.0-next.9