关键漏洞信息 漏洞概述 漏洞类型: Prototype pollution 受影响版本: >=2.0.1, <2.0.5 修复版本: 2.0.5 严重性: Critical (CVSS v4: 9.4/10) 漏洞描述 摘要: 在set-in npm包中存在一个 Prototype pollution 漏洞。尽管此前修复过通过检查用户输入是否包含禁止键来缓解 Prototype pollution,仍可以通过 Array.prototype 污染 Object.prototype。 漏洞细节 位置: index.js#L28,此处的 函数用来检查用户输入是否包含禁止字符串。 PoC: 预期行为与实际行为对比 预期行为: Prototype pollution 应被阻止,且对象不应获取新属性。 实际行为: Object.prototype 被污染。 影响 该漏洞可能导致: 1. 认证绕过 2. 服务拒绝 3. 远程代码执行(若是被污染的属性传递到如 或 的接收器)。 其他关键信息 CVE ID: CVE-2026-26021 弱点: CWE-1321 发现者: kevgeoleo, vdata1, reallyTG