Yumarun

**Nome do Software Vulnerável e Versões Afetadas** Velocity.js versões anteriores a 2.1.6 **Descrição** Um problema de poluição de protótipo (prototype pollution) existe durante o processamento de diretivas #set em templates. O mecanismo aceita chaves de caminho arbitrárias e realiza atribuições no arquivo `/src/compile/set.ts` usando a lógica `(baseRef as Record<string, unknown>)[key] = val`. Devido à falta de validação ou filtragem de chaves sensíveis como ` proto `, `constructor` ou `prototype`, um invasor pode percorrer a cadeia de protótipos e poluir o Object.prototype global. Isso pode levar à Negação de Serviço (DoS) ou Execução Remota de Código (RCE), dependendo do ambiente do servidor. **Recomendações** Atualize para uma versão posterior a 2.1.5.