CVE-2025-66456

Nome do Software Vulnerável e Versões Afetadas Versões do Elysia de 1.4.0 a 1.4.16

Descrição O Elysia é um framework Typescript usado para validação de requisições, inferência de tipos, documentação OpenAPI e comunicação cliente-servidor. A função mergeDeep é suscetível a um problema de poluição de protótipo ao mesclar resultados de duas validações de schema padrão que compartilham a mesma chave. Isso ocorre devido à ordem de mesclagem, exigindo que um tipo 'any' seja definido como uma guarda independente para permitir a mesclagem da propriedade proto. Combinado com o GHSA-8vch-m3f4-q8jf, isso pode levar à execução remota de código (RCE). O componente vulnerável é a função mergeDeep. A propriedade proto está envolvida na exploração.

Recomendações Atualize para a versão 1.4.17 ou superior do Elysia. Como solução alternativa, remova a chave proto do corpo da requisição.