Merge-deep
Уязвимости
2
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.02036
Распределение по критичности
Критический
1
Высокий
1
Средний
0
Низкий
0
Затронутые диапазоны версий
< 3.0.1< 3.0.3
Также сопоставлено как (исходные строки): merge-deep
Топ уязвимостей
CVE-2021-26707Библиотеку merge-deep до версии 3.0.3 для Node.js можно обманом заставить перезаписывать свойства Object.prototype или добавлять в него новые свойства. Эти свойства затем наследуются каждым объектом в программе, что облегчает атаки с загрязнением прототипа против приложений, использующих эту библиотеку.
CVE-2018-3722Node-модуль merge-deep версий до 3.0.1 страдает от уязвимости Modification of Assumed-Immutable Data (MAID), которая позволяет злоумышленнику изменять прототип "Object" через __proto__, вызывая добавление или изменение существующего свойства, которое будет существовать во всех объектах.