Cp-57

**Nome do Software Vulnerável e Versões Afetadas** Versões do NocoDB anteriores a 0.301.0 **Descrição** Um usuário autenticado com permissões de criador em nível de organização pode explorar poluição de protótipo no endpoint `/api/v2/meta/connection/test`. Isso faz com que todas as operações de gravação no banco de dados falhem em toda a aplicação até que o servidor seja reiniciado. O problema origina-se da função `deepMerge()` em `packages/nocodb/src/utils/dataUtils.ts`, que não sanitiza chaves como ` proto `, `constructor` e `prototype`. O endpoint `testConnection` em `packages/nocodb/src/controllers/utils.controller.ts` passa entrada controlada pelo usuário diretamente para `deepMerge()`. O envio de um payload como `{" proto ": {"super": true}}` grava a propriedade `super` em `Object.prototype`, impactando todos os objetos simples no processo Node.js. A função vulnerável é `deepMerge()`. O parâmetro vulnerável é `body`. **Recomendações** Versões anteriores a 0.301.0 devem ser atualizadas para a versão 0.301.0 ou posterior.