关键信息 漏洞类型 Prototype Pollution: 影响 包,版本范围从 2.0.0 到 3.11.1。 CVSS评分 严重性: 5.9 (中等) 如何修复 升级 到版本 3.11.2 或更高。 漏洞详情 CVE编号: CVE-2021-24638 影响: Prototype Pollution 允许攻击者通过构造特定的输入来污染 JavaScript 对象原型,从而导致远程代码执行。 受影响函数: 和 PoC: 攻击类型 Unsafe Object recursive merge Property definition by path 受影响环境 应用程序服务器 Web 服务器 Web 浏览器 防御措施 1. 使用 冻结原型链。 2. 对 JSON 输入进行模式验证。 3. 避免使用不安全的递归合并函数。 4. 考虑使用没有 的对象(例如 )。 5. 最佳实践是使用 而不是 。 参考资料 GitHub Commit GitHub Issue