CVE-2026-46510

Nome do Software Vulnerável e Versões Afetadas form-data-objectizer versões anteriores a 1.0.1

Descrição O software não filtra proto, constructor ou prototype ao converter FormData em objetos usando chaves de formulário com notação de colchetes. Um invasor pode enviar um único campo de formulário HTTP com um nome começando com proto [...] para mutar o Object.prototype, resultando em poluição de protótipo (prototype pollution) em todo o processo Node.js. Isso ocorre dentro das funções treatInitial() e treatSecond() no arquivo index.cjs. Este problema pode ser explorado para burlar verificações de segurança, injetar valores de configuração, interromper a renderização de templates ou causar a negação de serviço ao travar o processo do worker.

Recomendações Atualize para a versão 1.0.1.