CVE-2026-44483

Nome do Software Vulnerável e Versões Afetadas RVF versões 6.0.0 até 6.0.3 RVF versões 7.0.0 até 7.0.1

Description A função setPath no @rvf/set-get (utilizada pelo @rvf/core para achatar dados de formulários recebidos em um objeto aninhado) não bloqueia as chaves proto, constructor ou prototype ao percorrer um caminho. Como os nomes dos campos nos dados de formulários enviados são passados diretamente para setPath via preprocessFormData (e através de parseFormData ou validate), um invasor pode definir propriedades arbitrárias no Object.prototype do processo do servidor em execução. Trata-se de uma primitiva de poluição de protótipo (prototype pollution)—uma condição onde um invasor pode manipular o protótipo de objetos base para alterar o comportamento da aplicação—que é acessível por padrão, sem a necessidade de configuração especial. Qualquer endpoint que aceite um formulário via parseFormData ou execute um validador criado com createValidator() é afetado. Isso pode levar ao bypass de verificações de segurança, injeção de valores de configuração não pretendidos, falhas na renderização de templates ou a interrupção do processo do worker (DoS).

Recommendations Atualizar as versões 6.0.0 até 6.0.3 do RVF para a versão 6.0.4. Atualizar as versões 7.0.0 até 7.0.1 do RVF para a versão 7.0.2.