漏洞总结 漏洞概述 该仓库 存在原型污染(Prototype Pollution)漏洞。攻击者可以通过在输入对象中构造 键,污染目标对象的原型链,从而可能获取未授权访问权限(如 )或导致拒绝服务。 影响范围 仓库: 受影响版本: 修复前的版本(如 v6.1.5 及更早版本)。 触发条件: 使用 函数合并对象时,输入对象包含 键。 修复方案 1. 代码逻辑修改 ( ): 在合并对象前,先创建一个空对象作为目标 ( ),避免直接修改原对象。 在遍历键值对时,增加了对 和 键的过滤检查,防止这些特殊键被赋值。 2. 增加测试用例 ( ): 添加了针对 污染的测试,验证即使输入包含恶意原型,结果对象也不会被污染。 关键代码块