Prototype Pollution (原型链污染) 影响包: 影响版本: < 0.7.6 严重程度: 8.8 (高危) 漏洞概述 是一个用于 JSON 差异和补丁的工具。该库存在原型链污染漏洞,攻击者可以通过构造恶意的 delta 或 JSON Patch 文档,利用 和 API 修改 。这可能导致拒绝服务 (DoS) 或远程代码执行 (RCE)。 影响范围 攻击方式: 攻击者通过控制属性名和路径段,向对象注入恶意属性。 触发条件: 当源对象包含名为 的属性,且目标对象和源对象都包含该属性时,合并操作会将源对象的属性复制到目标对象的 上。 受影响环境: 应用服务器、Web 服务器、Web 浏览器。 修复方案 升级版本: 将 升级到 0.7.6 或更高版本。 POC 代码