CWE-1321ВариантНеполный
Ненадлежащим образом контролируемое изменение атрибутов прототипа объекта («загрязнение прототипа»)
Продукт получает входные данные от вышестоящего компонента, задающие атрибуты для инициализации или обновления в объекте, однако не обеспечивает надлежащего контроля модификаций атрибутов прототипа объекта.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2026-25881SandboxJS - это библиотека песочницы JavaScript. До 0.8.31 уязвимость выхода из песочницы позволяет песочнику кода мутировать встроенные прототипы хоста путем отмывания флага защиты «Глобально» через буквальных посредников массива. Когда глобальный справочник прототипа (например, Map.prototype, Set.prototype) помещается в массив и извлекается, грязный испорченный ритор issor, что позволяет прямое мутация прототипа изнутри песочницы. Это приводит к постоянному загрязнению прототипа со стороны хозяина и может включать RCE в приложениях, которые используют загрязненные свойства в чувствительных раковинах (например, гаджет: execSync (obj.cmd)). Эта уязвимость фиксируется в пункте 0.8.31.
CVE-2026-25150Qwik - это фреймворк, ориентированный на производительность. До версии 1.19.0 в промежуточной посуде @builder.io/qwik-city существует уязвимость прототипа в формеToObj(). Функциональные процессы формируют имена полей с обозначением точки (например, user.name) для создания вложенных объектов, но не могут санировать имена опасных свойств, такие как __proto__, конструктор и прототип. Это позволяет неаутентифицированным злоумышленникам загрязнять Object.prototype, отправляя созданные HTTP POST-запросы, что может привести к эскалации привилегий, обходу аутентификации или отказу в обслуживании. Этот вопрос был исправлен в версии 1.19.0.
CVE-2024-38999Обнаружено, что jrburke requirejs v2.3.6 содержит prototype pollution через функцию s.contexts._.configure. Эта уязвимость позволяет злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (DoS) путем внедрения произвольных свойств.
CVE-2023-26121Все версии пакета safe-eval подвержены прототипной атаке через функцию safeEval, из-за неправильной санации содержимого ее параметров.
CVE-2021-23594Все версии пакета realms-shim уязвимы для обхода песочницы через вектор атаки загрязнения прототипов.
CVE-2021-23449Это затрагивает пакет vm2 до версии 3.9.4 через вектор атаки Prototype Pollution, который может привести к выполнению произвольного кода на хост-машине.
CVE-2020-12079Beaker до 0.8.9 допускает выход из песочницы, обеспечивая доступ к системе и выполнение кода. Это происходит потому, что изоляция контекста Electron не используется, и поэтому злоумышленник может провести атаку с загрязнением прототипа против внутреннего API обмена сообщениями Electron.
CVE-2026-32621Apollo Federation - это архитектура для декларативного сочинения API в единый граф. До 2.9.6, 2.10.5, 2.11.6, 2.12.3 и 2.13.2 в исполнении плана запросов в шлюзе, которая может допускать загрязнение Object.prototype в определенных сценариях. Вредоносный клиент может загрязнять Object.prototype в шлюзе непосредственно путем создания операций с полевыми псевдонимами и/или именами переменных, которые нацелены на наследственные свойства прототипа. В качестве альтернативы, если подграф должен был быть скомпрометирован злоумышленником, он может загрязнить Object.prototype в шлюзе, создавая полезные нагрузки ответа JSON, которые нацелены на наследуемые прототипы свойства. Эта уязвимость зафиксирована в разделах 2.9.6, 2.10.5, 2.11.6, 2.12.3 и 2.13.2.
CVE-2025-25015Загрязнение прототипа в Kibana приводит к произвольному выполнению кода через специально созданную загрузку файла и специально созданные HTTP-запросы.
В версиях Kibana >= 8.15.0 и < 8.17.1 это может использоваться пользователями с ролью Просмотрщик. В версиях Kibana 8.17.1 и 8.17.2 это может использоваться только пользователями, имеющими роли, содержащие все следующие привилегии: fleet-all, integrations-all, actions:execute-advanced-connectors.
CVE-2026-44966Velocity.js - это JavaScript-реализация движка шаблона Apache Velocity. В 2.1.5 и ранее в скоростях была обнаружена уязвимость прототипа загрязнения. Эта проблема возникает при обработке #set директив в шаблонах Velocity. Если приложение отображает шаблон, управляемый злоумышленником, можно изменить Object.prototype, что потенциально приводит к отказу в обслуживании (DoS) или удаленному исполнению кода (RCE) в зависимости от серверной среды.
CVE-2026-27837Dottie обеспечивает доступ к вложенным объектам и манипуляции в JavaScript. Версии 2.0.4 - 2.0.6 содержат неполное исправление для CVE-2023-261232. Прототип защиты загрязнения, введенный в обязательстве `7d3aee1` только подтверждает первый сегмент пути, разделенного точками, позволяя злоумышленнику обойти защиту, размещая `__proto__` в любом положении, отличном от первого. Как "dottie.set()`` так и "dottie.transform()`` затронуты. Версия 2.0.7 содержит обновленное исправление для устранения остаточной уязвимости.
CVE-2026-24888Maker.js - это 2D векторная линия рисования и моделирования формы для ЧПУ и лазерных резаков. В версиях до 0.19.1 включительно функция emaker `js.extendObject` включает свойства функции источников без надлежащей проверки, что может подвергать приложения рискам безопасности. Функция не имеет проверки «hasOwnProperty()` и не фильтрует опасные ключи, позволяя скопировать унаследованным свойствам и потенциально вредоносным свойствам для целевых объектов. Патч доступен в commit 85e0f12bd868974b891601a141974f929dec36b8, который, как ожидается, будет частью версии 0.19.2.
CVE-2026-23736Серовар облегчает строгирование значения JS, включая сложные структуры за пределами возможностей JSON.stringify. В версиях 1.4.0 и ниже, из-за неправильной валидации ввода, ключ вредоносного объекта может привести к загрязнению прототипа во время дезериаализации JSON. Эта уязвимость затрагивает только функциональность десеризации JSON. Эта проблема исправлена в версии 1.4.1.
CVE-2025-63704NPM пакет запрос-парсер-стринг 1.0.0 уязвим для загрязнения прототипом. Пакет не обеспечивает должным образом дезинфицирующие параметры запроса, предоставленные пользователем, и объединяет их в вновь созданный объект.
CVE-2025-63703npm пакет parse-ini v1.0.6 уязвим для Прототипа Загрязнения в index.js().