关键漏洞信息 CVE编号: CVE-2023-26132 漏洞类型: Prototype Pollution 受影响版本: dottie.js >= 2.0.4, <= 2.0.6 修复版本: dottie.js 2.0.7 严重程度: Moderate CVSS v3 Base Metrics: - Attack Vector: Network - Attack Complexity: Low - Privileges Required: None - User Interaction: Required - Scope: Unchanged - Confidentiality: Low - Integrity: Low - Availability: Low CVE ID: CVE-2026-27837 弱项: CWE-1321 漏洞概述 dottie.js 版本 2.0.4 至 2.0.6 中的原型污染防护机制存在缺陷,仅检查路径的第一部分,允许攻击者通过在非路径首段位置放置 来绕过防护,影响 和 方法。 PoC (概念验证) 影响 主要风险是授权绕过。在典型的服务端场景中,如果 dottie.js 用于处理用户输入(如 Sequelize 库),攻击者可注入类似 的属性到访问控制对象的原型链中。由于此类注入的属性不被视为对象的自身属性,使用 或 进行标准检查时无法检测到,但直接访问属性将返回 。 此外,通过 更换对象的原型会去除所有继承的方法,可能引发 TypeError 异常或服务拒绝。