Dung Le

**Nome do software vulnerável e versões afetadas** Todas as versões do @ianwalter/merge **Descrição** O problema diz respeito à contaminação de protótipos (Prototype Pollution) por meio da função principal (`merge`). O mantenedor sugere o uso do @generates/merger em vez disso, já que o @ianwalter/merge está obsoleto. **Recomendações** Para todas as versões, considere usar @generates/merger como substituto, conforme sugerido pelo mantenedor, até que um patch esteja disponível para @ianwalter/merge. Como solução temporária, considere evitar o uso da função `merge` em @ianwalter/merge para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Todas as versões do merge-change **Descrição** O problema diz respeito à contaminação de protótipos (Prototype Pollution) por meio da função `utils.set`. Isso afeta todas as versões do pacote merge-change. **Recomendações** Para todas as versões, considere desativar a função `utils.set` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à função vulnerável para minimizar o risco de exploração. Evite usar a função `utils.set` em operações confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Todas as versões do `record-like-deep-assign` **Descrição** A vulnerabilidade afeta a funcionalidade principal do pacote, permitindo a “contaminação de protótipos”. Isso ocorre quando um invasor consegue injetar propriedades no protótipo de um objeto, o que pode levar a comportamentos indesejados ou vulnerabilidades de segurança. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações disponíveis sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para todas as versões, considere restringir o uso do pacote `record-like-deep-assign` até que uma correção esteja disponível, pois ele é vulnerável à contaminação de protótipos por meio de sua funcionalidade principal. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do ts-nodash anteriores à 1.2.7 **Descrição** O problema está relacionado à contaminação de protótipos (Prototype Pollution) por meio da função `Merge()`, devido à falta de validação de entrada. Isso afeta o pacote ts-nodash. **Recomendações** Para versões anteriores à 1.2.7, atualize para a versão 1.2.7 ou posterior para resolver o problema. Como solução temporária, considere desativar a função `Merge()` até que um patch esteja disponível. Restrinja o acesso à função `Merge()` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do lutils anteriores à versão corrigida **Descrição** O problema diz respeito à contaminação de protótipos (Prototype Pollution) por meio da função principal (merge). Isso permite uma possível manipulação do protótipo, o que pode levar a vários problemas de segurança. **Recomendações** Para todas as versões do lutils, atualize para uma versão que inclua uma correção para o problema de contaminação de protótipos na função principal (merge). No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.