漏洞概述 包中的 函数在处理未 sanitization 的用户输入(例如解析后的JSON请求体、数据库记录或配置文件)时存在原型污染漏洞。攻击者可以通过构造包含 键的输入,覆盖合并后的结果中的预期默认值。 根本原因: 内部的 函数使用 来复制 defaults 对象。 会调用 setter,从而用攻击者控制的值替换结果对象的 。从污染的原型继承的属性会绕过 循环中的检查,最终进入结果。 影响范围 受影响版本: 修复版本: CVSS 评分: 7.3 / 10 (High) 攻击向量: Network (网络) 攻击复杂度: Low (低) 权限要求: None (无) 修复方案 将 替换为对象展开运算符 。对象展开运算符使用 ,不会调用 setter,从而避免原型污染。 POC 代码