PT-2025-46851 · Js Yaml+1 · Js-Yaml+1

Publicado

2025-11-13

·

Atualizado

2026-06-04

·

CVE-2025-64718

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Versões do js-yaml anteriores à 4.1.1
Descrição O js-yaml é um analisador e serializador YAML em JavaScript. Existe uma falha na qual um atacante pode alterar o protótipo de um documento YAML analisado, resultando em poluição de protótipo. Isso afeta usuários que analisam documentos YAML não confiáveis. O problema foi corrigido na versão 4.1.1 do js-yaml. A poluição de protótipo ocorre quando um atacante manipula a propriedade proto para modificar o protótipo de um objeto, potencialmente afetando todos os objetos que herdam dele.
Recomendações Atualize para a versão 4.1.1 ou posterior do js-yaml. Use node --disable-proto=delete ao executar com Node.js. Utilize o Deno, pois a proteção contra poluição está habilitada por padrão.

Exploit

Correção

Prototype Pollution

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1321

Identificadores relacionados

CVE-2025-64718
GHSA-MH29-5H37-FV8M
OPENSUSE-SU-2026:10036-1
OPENSUSE-SU-2026:20117-1
OPENSUSE-SU-2026:20251-1
SUSE-SU-2026:20170-1
SUSE-SU-2026:20182-1
SUSE-SU-2026:20540-1
SUSE-SU-2026:20580-1

Produtos afetados

Debian
Js-Yaml