CVE-2025-3193

Nome do Software Vulnerável e Versões Afetadas Versões do algoliasearch-helper de 2.0.0-rc1 até 3.11.2

Descrição O pacote contém uma vulnerabilidade de Prototype Pollution na função merge() dentro do arquivo merge.js. Isso permite a modificação do constructor.prototype, podendo levar à execução de código caso erros sejam capturados e parâmetros de pesquisa fornecidos pelo usuário sejam injetados. Este é um problema distinto de outro problema relatado. A vulnerabilidade não é explorável na configuração padrão do InstantSearch, pois os parâmetros de pesquisa não são modificáveis pelo usuário.

Recomendações Atualize para uma versão posterior à 3.11.2.