Sveltejs devalue's `devalue.parse` and `devalue.unflatten` emit objects with `__proto__` own properties — GHSA-MWV9-GP5H-FRR4
GHSA · GitHub · GHSA-MWV9-GP5H-FRR4
ID
GHSA-MWV9-GP5H-FRR4
GHSA-MWV9-GP5H-FRR4
Date
Mis à jour
Activity
Source
GHSA
GHSA
Fournisseur
GitHub
GitHub
Risque
low
low
CVSS
2.7
2.7
Résumé
In some circumstances, `devalue.parse` and `devalue.unflatten` could emit objects with `__proto__` own properties. This in and of itself is not a security vulnerability (and is possible with, for example, `JSON.parse` as well), but it can result in prototype injection if _downstream_ code handles it incorrectly: ```ts const result = devalue.parse(/* input creating an object with a __proto__ property */); const…
Produit
npm: devalue
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Évaluez l’exposition et planifiez la remédiation selon le risque et l’environnement.
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.