漏洞总结:Prototype Pollution via .proto 漏洞概述 漏洞名称:Prototype Pollution via .proto: When Your Schema Poisons the Runtime CVE编号:CVE-2026-5758 CWE编号:CWE-1321 (Improperly Controlled Modification of Object Prototype Attributes) 受影响软件: (npm包) 受影响版本:< 3.6.1 漏洞原理:解析器在处理字段选项(如 )时,使用 遍历路径。如果攻击者提供 作为路径组件,解析器会将其解析为 ,从而向所有对象注入属性。 影响范围 严重等级:CRITICAL 潜在后果: 认证绕过:如果授权逻辑检查 且污染的原型提供了默认值,访问控制将失效。 拒绝服务 (DoS):污染 , , 等键可能导致进程崩溃或无限循环。 远程代码执行 (RCE):结合模板引擎、子进程生成等场景,可能导致 RCE。 逻辑损坏:任何读取对象属性且未使用 检查的代码都可能受到影响。 攻击面:由于 文件常被视为受信任配置,解析来自外部源(用户上传、第三方API)的文件时极易触发。 修复方案 升级版本:更新 至 3.6.1 或更高版本。 开发者建议: 检查是否解析来自不可信源(用户上传、外部仓库、第三方API)的 文件。 审计下游代码,防范原型污染 gadget(如模板引擎、ORM配置)。 在安全敏感上下文中考虑冻结 。 * 维护解析器时,永远不要使用 或括号表示法遍历用户控制的路径而不过滤危险键(如 , , )。 概念验证代码 (POC)