anonhaven

CVE-2026-4800

CRITICAL CVSS 3.1: 9,8 EPSS 0.09%
Обновлено 7 апреля 2026
Lodash
Параметр Значение
CVSS 9,8 (CRITICAL)
Уязвимые версии до 4.5.0
Устранено в версии 4.18.0
Тип уязвимости CWE-94 (Внедрение кода)
Поставщик Lodash
Публичный эксплойт Нет

Влияние: Исправление для CVE-2021-23337 (https://github.com/advisories/GHSA-35jh-r3h4-6jhm) добавляло проверку параметра переменной в _.template, но не применяло ту же проверку к именам ключей options.imports. Оба пути ведут в один и тот же приемник конструктора Function(). Когда приложение передает ненадежные входные данные в качестве имен ключей options.imports, злоумышленник может внедрить выражения с параметрами по умолчанию, которые выполняют произвольный код во время компиляции шаблона.

Кроме того, _.template использует AssignInWith для объединения импорта, который перечисляет унаследованные свойства через for..in. Если Object.prototype был загрязнен каким-либо другим вектором, загрязненные ключи копируются в объект импорта и передаются в Function(). Патчи: Пользователям следует обновиться до версии 4.18.0.

Обходные пути: Не передавайте ненадежные входные данные в качестве имен ключей в options.imports. Используйте только статические имена ключей, контролируемые разработчиком.

Показать оригинальное описание (EN)

Impact: The fix for CVE-2021-23337 (https://github.com/advisories/GHSA-35jh-r3h4-6jhm) added validation for the variable option in _.template but did not apply the same validation to options.imports key names. Both paths flow into the same Function() constructor sink. When an application passes untrusted input as options.imports key names, an attacker can inject default-parameter expressions that execute arbitrary code at template compilation time. Additionally, _.template uses assignInWith to merge imports, which enumerates inherited properties via for..in. If Object.prototype has been polluted by any other vector, the polluted keys are copied into the imports object and passed to Function(). Patches: Users should upgrade to version 4.18.0. Workarounds: Do not pass untrusted input as key names in options.imports. Only use developer-controlled, static key names.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-94 Code Injection (Внедрение кода)

Уязвимые продукты 4

Конфигурация От (включительно) До (исключительно)
Lodash Lodash
cpe:2.3:a:lodash:lodash:*:*:*:*:*:node.js:*:*
 4.17.21
Lodash Lodash-Es
cpe:2.3:a:lodash:lodash-es:*:*:*:*:*:node.js:*:*
 4.17.21
Lodash Lodash-Rails
cpe:2.3:a:lodash:lodash-rails:*:*:*:*:*:ruby:*:*
 4.17.21
Lodash Lodash.Template
cpe:2.3:a:lodash:lodash.template:*:*:*:*:*:node.js:*:*
 <= 4.5.0

Ссылки 3

https://cna.openjsf.org/security-advisories.html
ce714d77-add3-4f53-aff5-83d477b104bb
https://github.com/advisories/GHSA-35jh-r3h4-6jhm
ce714d77-add3-4f53-aff5-83d477b104bb
https://github.com/lodash/lodash/commit/3469357cff396a26c363f8c1b5a91dde28ba4b1c
ce714d77-add3-4f53-aff5-83d477b104bb
Share Post Share Share Share

Связанные уязвимости

CVE-2026-2950

Lodash

5,3