漏洞概要 漏洞编号: #791805 漏洞名称: brikcss @brikcss/merge 1.3.0 Prototype Pollution 提交者: sudome (UID 96548) 提交时间: 2026-02-28 状态: 已验证 (Verified) VulDB 条目: brikcss merge up to 1.3.0 __proto__ /constructor.prototype.prototype pollution 漏洞概述 包存在原型污染漏洞。该漏洞允许攻击者通过 JavaScript 的全局对象原型注入任意属性。这是因为 函数递归处理对象时,没有正确清理特殊键(如 、 和 )。 当攻击者控制被合并的源对象时,他们可以向 注入属性,从而影响应用程序中的所有对象。 影响范围 使用 包的 Node.js 应用程序。 受影响版本:1.3.0 及以下。 修复方案 升级到修复了该漏洞的版本(如果存在)。 避免使用不可信的输入作为合并操作的源对象。 在合并对象之前,对输入进行严格的验证和清理。 POC 代码