anonhaven

CVE-2026-35209

HIGH CVSS 3.1: 7,5
Обновлено 6 апреля 2026
Payload
Параметр Значение
CVSS 7,5 (HIGH)
Тип уязвимости CWE-1321 (Загрязнение прототипа)
Поставщик Payload
Публичный эксплойт Нет

defu — это программное обеспечение, которое позволяет пользователям рекурсивно назначать свойства по умолчанию. До версии 6.1.5 приложения, которые передают несанкционированный пользовательский ввод (например, проанализированные тела запроса JSON, записи базы данных или файлы конфигурации из ненадежных источников) в качестве первого аргумента в `defu()`, уязвимы для загрязнения прототипов. Созданная полезная нагрузка, содержащая ключ `__proto__`, может переопределить предполагаемые значения по умолчанию в объединенном результате.

Внутренняя функция _defu использовала Object.assign({}, defaults) для копирования объекта по умолчанию. `Object.assign` вызывает установщик `__proto__`, который заменяет `[[Prototype]]` результирующего объекта значениями, контролируемыми злоумышленником. Свойства, унаследованные от загрязненного прототипа, затем обходят существующую защиту ключа `__proto__` в цикле `for...in` и попадают в окончательный результат. Версия 6.1.5 заменяет `Object.assign({}, defaults)` на расширение объекта (`{ ...defaults }`), которое использует `[[DefineOwnProperty]]` и не вызывает установщик `__proto__`.

Показать оригинальное описание (EN)

defu is software that allows uers to assign default properties recursively. Prior to version 6.1.5, applications that pass unsanitized user input (e.g. parsed JSON request bodies, database records, or config files from untrusted sources) as the first argument to `defu()` are vulnerable to prototype pollution. A crafted payload containing a `__proto__` key can override intended default values in the merged resul. The internal `_defu` function used `Object.assign({}, defaults)` to copy the defaults object. `Object.assign` invokes the `__proto__` setter, which replaces the resulting object's `[[Prototype]]` with attacker-controlled values. Properties inherited from the polluted prototype then bypass the existing `__proto__` key guard in the `for...in` loop and land in the final result. Version 6.1.5 replaces `Object.assign({}, defaults)` with object spread (`{ ...defaults }`), which uses `[[DefineOwnProperty]]` and does not invoke the `__proto__` setter.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-1321 Prototype Pollution (Загрязнение прототипа)

Ссылки 4

https://github.com/unjs/defu/commit/3942bfbbcaa72084bd4284846c83bd61ed7c8b29
security-advisories@github.com
https://github.com/unjs/defu/pull/156
security-advisories@github.com
https://github.com/unjs/defu/releases/tag/v6.1.5
security-advisories@github.com
https://github.com/unjs/defu/security/advisories/GHSA-737v-mqg7-c878
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-1114

Payload

9,8

CVE-2026-35203

Payload

7,5

CVE-2026-35173

Payload

6,5

CVE-2026-34989

Payload

9,4

CVE-2026-31313

Payload

None