Node-lodash
Уязвимости
10
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.2241
Распределение по критичности
Критический
2
Высокий
2
Средний
5
Низкий
1
Также сопоставлено как (исходные строки): node-lodash
Топ уязвимостей
CVE-2026-4800Влияние:
Исправление для CVE-2021-23337 (https://github.com/advisories/GHSA-35jh-r3h4-6jhm) добавило валидацию для переменного варианта в _.template, но не применяло такую же валидацию к ключевым именам options.imports. Оба пути впадают в одну и ту же поглотитель конструктора Function().
Когда приложение пропускает ненадежным вводом в качестве параметров.импортирует ключевые имена, злоумышленник может вводить выражения параметров по умолчанию, которые выполняют произвольный код во время компиляции шаблона.
Кроме того, _.template использует assignInWith для слияния импорта, который перечисляет унаследованные свойства через for..in. Если Object.prototype был загрязнен любым другим вектором, загрязненные ключи копируются в объект импорта и передаются в Функцию ().
Патчи:
Пользователи должны обновиться до версии 4.18.0.
Обходные пути:
Не передайте ненадежным вводным в качестве ключевых имен в options.imports. Используйте только контролируемые разработчиками, статические имена ключей.
CVE-2019-10744Версии lodash ниже 4.17.12 уязвимы для Prototype Pollution. Функцию defaultsDeep можно обманом заставить добавлять или изменять свойства Object.prototype с помощью полезной нагрузки конструктора.
CVE-2020-8203Атака с загрязнением прототипа при использовании _.zipObjectDeep в lodash до 4.17.20.
CVE-2021-23337Версии Lodash до 4.17.21 уязвимы для Command Injection через функцию template.
CVE-2025-13465Версии Lodash 4.0.0-4.17.22 уязвимы для загрязнения прототипами в функциях _.unset и _.omit. Злоумышленник может пройти созданные пути, которые заставляют Lodash удалять методы из глобальных прототипов.
Выпуск позволяет удалять имущество, но не позволяет перезаписать их первоначальное поведение.
Этот вопрос исправлен на 4.17.23
CVE-2018-16487Уязвимость prototype pollution была обнаружена в lodash <4.17.11, где функции merge, mergeWith и defaultsDeep могут быть обманом заставлены добавлять или изменять свойства Object.prototype.
CVE-2026-2950Влияние:
Версии Lodash 4.17.23 и ранее уязвимы для загрязнения прототипами в функциях _.unset и _.omit. Исправление для (CVE-2025-13465: https://github.com/lodash/lodash/security/advisories/GHSA-xxjr-mmjv-4gpg) защищает только от членов струнных ключей, поэтому злоумышленник может обойти проверку, проходя сегменты пути, обернутые массивом. Это позволяет удалить свойства из встроенных прототипов, таких как Object.prototype, Number.prototype и String.prototype.
Проблема позволяет удаление прототипов, но не позволяет перезаписать их первоначальное поведение.
Патчи:
Этот вопрос исправлен в 4.18.0.
Обходные пути:
Ни одного. Обновление до исправленной версии.
CVE-2020-28500Версии Lodash до 4.17.21 уязвимы для Regular Expression Denial of Service (ReDoS) через функции toNumber, trim и trimEnd.
CVE-2019-1010266lodash до 4.17.11 подвержен уязвимости: CWE-400: Неконтролируемое потребление ресурсов. Воздействие: отказ в обслуживании. Компонент: обработчик даты. Вектор атаки: злоумышленник предоставляет очень длинные строки, которые библиотека пытается сопоставить с помощью регулярного выражения. Исправленная версия: 4.17.11.
CVE-2018-3721Node-модуль lodash версий до 4.17.5 страдает от уязвимости Modification of Assumed-Immutable Data (MAID) через функции defaultsDeep, merge и mergeWith, которая позволяет злоумышленнику изменять прототип "Object" через __proto__, вызывая добавление или изменение существующего свойства, которое будет существовать во всех объектах.