CVEbaza.plSłownik CWECWE-1321
Common Weakness Enumeration

CWE-1321

Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution')

Kategoria: VariantCVE: 607
Opis

Produkt odbiera dane wejściowe ze składnika nadrzędnego, które określają atrybuty do zainicjowania lub zaktualizowania w obiekcie, ale nie kontroluje prawidłowo modyfikacji atrybutów prototypu obiektu. Umożliwia to atakującemu manipulowanie prototypem obiektu w sposób, który wpływa na wszystkie instancje obiektu w aplikacji.

Description (EN)

The product receives input from an upstream component that specifies attributes that are to be initialized or updated in an object, but it does not properly control modifications of attributes of the object prototype.

Podatności CVE z CWE-1321 (607)
10.0
CVSS
CRITICAL
CVE-2026-44005

Biblioteka vm2 dla Node.js w wersjach od 3.9.6 do 3.10.5 umożliwia kod działający wewnątrz sandbox na modyfikację współdzielonych prototypów hosta (Object.prototype, Array.prototype, Function.prototype). Jest to podatność o maksymalnym wyniku CVSS 10.0, pozwalająca na przełamanie izolacji sandbox.

pub. 2026-05-13
10.0
CVSS
CRITICAL
CVE-2026-25142

Biblioteka SandboxJS przed wersją 0.8.27 nie ogranicza prawidłowo dostępu do metody __lookupGetter__, co umożliwia uzyskanie dostępu do prototypów obiektów JavaScript i ucieczkę z izolowanego środowiska wykonawczego (sandbox escape). Podatność uzyskała maksymalny wynik CVSS 10.0 i może prowadzić do zdalnego wykonania kodu (RCE).

pub. 2026-02-02
10.0
CVSS
CRITICAL
CVE-2011-10019

Wersje Spreecommerce Spree starsze niż 0.60.2 zawierają krytyczną podatność umożliwiającą zdalne wykonanie poleceń (RCE) w module wyszukiwania. Atakujący bez uwierzytelnienia może wykonać dowolne polecenia powłoki na serwerze docelowym.

pub. 2025-08-13
10.0
CVSS
CRITICAL
CVE-2024-38999

W bibliotece RequireJS w wersji 2.3.6 odkryto podatność typu prototype pollution w funkcji s.contexts._.configure, umożliwiającą wykonanie dowolnego kodu lub wywołanie odmowy usługi. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją wyjątkowo krytyczną.

pub. 2024-07-01
10.0
CVSS
CRITICAL
CVE-2024-39008

Biblioteka robinweser fast-loops w wersji 1.1.3 zawiera podatność typu prototype pollution w funkcji objectMergeDeep. Luka otrzymała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem umożliwiającym zdalne wykonanie kodu lub wywołanie odmowy usługi bez jakiegokolwiek uwierzytelnienia.

pub. 2024-07-01
10.0
CVSS
CRITICAL
CVE-2022-29823

Feather-Sequalize cleanQuery method uses insecure recursive logic to filter unsupported keys from the query object. This results in a Remote Code Execution (RCE) with privileges of application.

pub. 2022-10-26
10.0
CVSS
CRITICAL
CVE-2022-24760

Parse Server is an open source http web server backend. In versions prior to 4.10.7 there is a Remote Code Execution (RCE) vulnerability in Parse Server. This vulnerability affects Parse Server in the default configuration with MongoDB. The main weakness that leads to RCE is the Prototype Pollution vulnerable code in the file `DatabaseController.js`, so it is likely to affect Postgres and any other database backend as well. This vulnerability has been confirmed on Linux (Ubuntu) and Windows. Users are advised to upgrade as soon as possible. The only known workaround is to manually patch your installation with code referenced at the source GHSA-p6h4-93qp-jhcm.

pub. 2022-03-12
10.0
CVSS
CRITICAL
CVE-2020-12079

Beaker before 0.8.9 allows a sandbox escape, enabling system access and code execution. This occurs because Electron context isolation is not used, and therefore an attacker can conduct a prototype-pollution attack against the Electron internal messaging API.

pub. 2020-04-23
9.9
CVSS
CRITICAL
CVE-2026-49252

deepstream is a server that allows clients and backend services to sync data, send messages and make rpcs at scale. Versions prior to 10.0.5 are vulnerable to Prototype Pollution. Exploitation can lead to potential privilege escalation from any authenticated user with write permission to any record. This issue has been fixed in version 10.0.5.

pub. 2026-06-18
9.9
CVSS
CRITICAL
CVE-2026-32621

Podatność w mechanizmie wykonywania planów zapytań w Apollo Federation gateway umożliwia zatrucie Object.prototype (prototype pollution). Ze względu na krytyczny poziom CVSS 9.9 i możliwość wykorzystania przez zdalnego, uwierzytelnionego klienta bez interakcji użytkownika, stanowi poważne zagrożenie dla środowisk korzystających z tego rozwiązania.

pub. 2026-03-16
9.9
CVSS
CRITICAL
CVE-2025-25015

Podatność typu prototype pollution w Elastic Kibana pozwala uwierzytelnionym użytkownikom na zdalne wykonanie dowolnego kodu (RCE). Krytyczna waga podatności (CVSS 9.9) wynika z faktu, że w wersjach przed 8.17.1 do jej wykorzystania wystarczają uprawnienia roli Viewer.

pub. 2025-03-05
9.8
CVSS
CRITICAL
CVE-2025-63703

Pakiet npm parse-ini w wersji 1.0.6 zawiera podatność Prototype Pollution w pliku index.js, umożliwiającą atakującemu manipulację prototypami obiektów JavaScript. Podatność uzyskała ocenę krytyczną CVSS 9.8, co oznacza poważne zagrożenie dla aplikacji korzystających z tego pakietu.

pub. 2026-05-07
9.8
CVSS
CRITICAL
CVE-2025-63704

Pakiet NPM query-parser-string w wersji 1.0.0 jest podatny na atak Prototype Pollution. Brak odpowiedniej sanityzacji parametrów zapytania pozwala atakującemu na modyfikację prototypu obiektów JavaScript, co może prowadzić do poważnych konsekwencji w aplikacji.

pub. 2026-05-07
9.8
CVSS
CRITICAL
CVE-2025-61140

Biblioteka Dchester Jsonpath w wersji 1.1.1 zawiera podatność typu Prototype Pollution w funkcji value() w pliku lib/index.js. Podatność posiada ocenę CVSS 9.8 (CRITICAL) i umożliwia zdalny atak bez uwierzytelnienia.

pub. 2026-01-28
9.8
CVSS
CRITICAL
CVE-2026-21854

Tarkov Data Manager zawiera krytyczną podatność umożliwiającą ominięcie uwierzytelnienia w endpoincie logowania. Nieuwierzytelniony atakujący może uzyskać pełny dostęp administracyjny do panelu zarządzania danymi.

pub. 2026-01-07
9.8
CVSS
CRITICAL
CVE-2025-57321

Podatność typu Prototype Pollution w funkcji util-deps.addFileDepend pakietu magix-combine-ex w wersjach do 1.2.10 włącznie umożliwia atakującemu wstrzyknięcie właściwości do Object.prototype. Minimalna konsekwencja to atak DoS, jednak ze względu na charakter tej klasy podatności rzeczywiste skutki mogą być poważniejsze.

pub. 2025-09-24
9.8
CVSS
CRITICAL
CVE-2025-57347

Pakiet Node.js 'dagre-d3-es' w wersji 7.0.9 zawiera podatność typu prototype pollution w funkcji addConflict modułu 'bk', wynikającą z braku walidacji danych wejściowych przy przypisywaniu właściwości. Podatność umożliwia nieautoryzowaną modyfikację łańcucha prototypów JavaScript, co może prowadzić do odmowy usługi (DoS) lub wykonania arbitralnego kodu.

pub. 2025-09-24
9.8
CVSS
CRITICAL
CVE-2025-49223

Biblioteka billboard.js przed wersją 3.15.1 zawiera podatność klasy prototype pollution w funkcji generate, która pozwala atakującemu na wykonanie dowolnego kodu lub wywołanie odmowy usługi (DoS). Podatność uzyskała ocenę CVSS 9.8 (CRITICAL) i nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

pub. 2025-06-04
9.8
CVSS
CRITICAL
CVE-2024-24292

Podatność typu Prototype Pollution w bibliotece Aliconnect SDK w wersji 0.0.6 umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Krytyczny poziom CVSS 9.8 wynika z braku wymagań co do autoryzacji oraz możliwości pełnego przejęcia kontroli nad systemem.

pub. 2025-03-28
9.8
CVSS
CRITICAL
CVE-2024-38985

Biblioteki depath v1.0.6 oraz cool-path v1.1.2 autorstwa janryWang zawierają podatność typu prototype pollution w metodzie set(). Podatność pozwala atakującemu na zdalne wykonanie kodu (RCE) lub wywołanie odmowy usługi (DoS) bez żadnego uwierzytelnienia.

pub. 2025-03-28
Pokazano 20 z 607 podatności
Informacje
ID: CWE-1321
Typ: Variant
Podatności: 607
MITRE CWE ↗
← Słownik CWE