Blackhatexploitation

Name of the Vulnerable Software and Affected Versions defu versões anteriores a 6.1.5 Description Aplicações que utilizam o software `defu` estão suscetíveis a poluição de protótipo ao processar entrada de usuário não higienizada, como corpos de solicitação JSON analisados, registros de banco de dados ou arquivos de configuração de fontes não confiáveis. Uma carga útil criada contendo uma chave ` proto ` pode substituir valores padrão no resultado mesclado. A função interna ` defu` usava anteriormente `Object.assign({}, defaults)`, que invoca o setter ` proto `, permitindo que valores controlados pelo atacante substituam o protótipo do objeto. Isso permite que propriedades herdadas do protótipo poluído ignorem as proteções existentes e apareçam no resultado final. A vulnerabilidade é corrigida substituindo `Object.assign({}, defaults)` por object spread (`{ ...defaults }`), que evita invocar o setter ` proto `. Recommendations Atualize para a versão 6.1.5 ou posterior.