CVE-2026-45302

Nome do Software Vulnerável e Versões Afetadas parse-nested-form-data versões anteriores a 1.0.1

Description A função parseFormData() processa nomes de campos FormData em notação de colchetes e pontos para objetos aninhados sem filtrar chaves de propriedades reservadas. Um invasor pode usar um nome de campo FormData que comece com proto ou contenha . proto . no meio do caminho para fazer com que o analisador percorra o Object.prototype e atribua propriedades a ele. Isso resulta em poluição de protótipo (prototype pollution), onde a cadeia de protótipos de cada objeto simples no processo em execução é contaminada. O problema reside na função handlePathPart() em src/index.ts, que não rejeita chaves reservadas durante o processamento de segmentos de caminho do tipo objeto. Isso pode levar à corrupção do estado da aplicação, alteração do fluxo de controle ou negação de serviço em aplicações que processam FormData controlado por invasores, como servidores HTTP.

Recommendations Atualize para a versão 1.0.1. Como medida paliativa temporária, valide os nomes dos campos para garantir que eles não contenham proto, constructor ou prototype antes de chamar a função parseFormData().