Locutus добавляет в JavaScript стандартные библиотеки других языков программирования в образовательных целях. В версиях от 2.0.12 до 2.0.39 в locutus существует уязвимость прототипа загрязнения. Несмотря на предыдущее исправление, которое пыталось уменьшить загрязнение прототипа путем проверки того, содержит ли пользовательский ввод запрещенный ключ, все еще возможно загрязнить Object.prototype через созданный ввод с использованием String.prototype. Эта проблема исправлена в версии 2.0.39.
Показать оригинальное описание (английский)
Locutus brings stdlibs of other programming languages to JavaScript for educational purposes. In versions from 2.0.12 to before 2.0.39, a prototype pollution vulnerability exists in locutus. Despite a previous fix that attempted to mitigate prototype pollution by checking whether user input contained a forbidden key, it is still possible to pollute Object.prototype via a crafted input using String.prototype. This issue has been patched in version 2.0.39.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X