CRITICAL🇬🇧 English

CVE-2025-57321

Prototype Pollution w magix-combine-ex — wstrzykiwanie właściwości Object.prototype

CVSS 9.8v3.1pub. 2025-09-24upd. 2025-10-17

Podatność typu Prototype Pollution w funkcji util-deps.addFileDepend pakietu magix-combine-ex w wersjach do 1.2.10 włącznie umożliwia atakującemu wstrzyknięcie właściwości do Object.prototype. Minimalna konsekwencja to atak DoS, jednak ze względu na charakter tej klasy podatności rzeczywiste skutki mogą być poważniejsze.

Pokaż oryginał (EN)

A Prototype Pollution vulnerability in the util-deps.addFileDepend function of magix-combine-ex versions thru 1.2.10 allows attackers to inject properties on Object.prototype via supplying a crafted payload, causing denial of service (DoS) as the minimum consequence.

🤖 Analiza AI
Jak działa

Atakujący dostarcza specjalnie spreparowany payload do funkcji util-deps.addFileDepend, która nie waliduje prawidłowo kluczy przekazywanych obiektów. W wyniku tego możliwe jest zmodyfikowanie globalnego prototypu JavaScript — Object.prototype — poprzez wstrzyknięcie do niego arbitralnych właściwości. Zanieczyszczony prototyp jest dziedziczony przez wszystkie obiekty w aplikacji, co może prowadzić do nieprzewidywalnego zachowania środowiska uruchomieniowego i awarii usługi (DoS). Publicznie dostępny kod PoC potwierdzający możliwość wykorzystania podatności znajduje się w referencjach.

Skutki

Atakujący może doprowadzić do odmowy usługi (DoS) poprzez destabilizację środowiska JavaScript. W zależności od kontekstu aplikacji Prototype Pollution może również otworzyć drogę do eskalacji uprawnień lub zdalnego wykonania kodu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie możliwości przekazywania niezaufanych danych wejściowych do funkcji util-deps.addFileDepend.

Kogo dotyczy

Pakiet magix-combine-ex w wersjach do 1.2.10 włącznie (thru 1.2.10).

Uwagi

Publicznie dostępny kod PoC (Proof of Concept) demonstrujący wykorzystanie podatności został opublikowany przez VulnSageAgent w repozytorium GitHub wskazanym w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Magix Combine Ex Project Magix Combine Ex

    APP
    Magix-Combine-Ex Project
    ≤ 1.2.10
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoS
CWE
Referencje