关键信息 漏洞标题: higuma web-audio-recorder-js Latest (0.1.1) Prototype Pollution 漏洞描述: - 库的内部 函数在合并配置对象时没有对危险的属性名(如 , , 或 )进行清理。 - 如果应用程序将未经过滤的用户输入(例如从 URL 参数、JSON API 或表单数据)传递给 构造函数的 参数,攻击者可以全局污染 。 - 在客户参与过程中发现此问题 - 代码模式确实存在漏洞,但实际利用取决于应用程序是否将用户输入传递给构造函数。大多数实现可能使用硬编码配置,这将使漏洞利用变得不可行。 概念验证(PoC): 其他信息: - 尚未进行广泛测试,未发现该漏洞在野利用,但认为值得记录。