PT-2026-36855 · Evolve · Evolver
Xeloxa
·
Publicado
2026-04-22
·
Atualizado
2026-05-04
·
CVE-2026-42077
CVSS v3.1
5.2
Média
| Vetor | AV:L/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:H |
Nome do Software Vulnerável e Versões Afetadas
Evolver versões anteriores a 1.69.3
Descrição
Um problema de poluição de protótipo no módulo de armazenamento de caixa de correio permite que invasores modifiquem o comportamento de todos os objetos JavaScript injetando propriedades maliciosas no Object.prototype. A falha ocorre nas funções
applyUpdate() e updateRecord(), que utilizam Object.assign() para mesclar dados controlados pelo usuário sem filtrar chaves perigosas como proto, constructor ou prototype.Recomendações
Atualizar para a versão 1.69.3.
Exploit
Correção
Prototype Pollution
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Evolver