CVE-2026-35209

Name of the Vulnerable Software and Affected Versions defu versões anteriores a 6.1.5

Description Aplicações que utilizam o software defu estão suscetíveis a poluição de protótipo ao processar entrada de usuário não higienizada, como corpos de solicitação JSON analisados, registros de banco de dados ou arquivos de configuração de fontes não confiáveis. Uma carga útil criada contendo uma chave proto pode substituir valores padrão no resultado mesclado. A função interna defu usava anteriormente Object.assign({}, defaults), que invoca o setter proto, permitindo que valores controlados pelo atacante substituam o protótipo do objeto. Isso permite que propriedades herdadas do protótipo poluído ignorem as proteções existentes e apareçam no resultado final. A vulnerabilidade é corrigida substituindo Object.assign({}, defaults) por object spread ({ ...defaults }), que evita invocar o setter proto.

Recommendations Atualize para a versão 6.1.5 ou posterior.