¿Qué es la inyección de código?

La inyección de código es un tipo de vulnerabilidad de seguridad en la que un atacante inserta código malicioso en un programa, lo que hace que ejecute comandos no deseados. En el contexto de CVE-2026-4800, los atacantes pueden inyectar código en plantillas de lodash a través del parámetro `options.imports`.

¿Qué es la contaminación de prototipos?

La contaminación de prototipos es una vulnerabilidad en la que un atacante modifica las propiedades de los prototipos de objetos integrados de JavaScript, como `Object.prototype`. Esto puede provocar un comportamiento inesperado y potencialmente comprometer toda la aplicación. CVE-2026-2950 permite la eliminación de propiedades de prototipos integrados.

¿Cómo actualizo lodash a la última versión?

Puede actualizar lodash a la última versión utilizando el administrador de paquetes npm. Ejecute el comando `npm update lodash` en el directorio raíz de su proyecto para actualizar lodash a la última versión, que incluye los parches de seguridad necesarios.

¿Qué versiones de lodash se ven afectadas por estas vulnerabilidades?

CVE-2026-4800 afecta a las versiones de lodash anteriores a la 4.18.0. CVE-2026-2950 afecta a las versiones 4.17.23 y anteriores de lodash. La actualización a la versión 4.18.0 o posterior resuelve ambas vulnerabilidades.

NextGuard

Volver al blog

CVSS 8.1CVE-2026-4800CVE-2026-2950

Lodash: Inyección de código y contaminación de prototipos (CVE-2026)

Múltiples vulnerabilidades en las versiones de lodash anteriores a la 4.18.0 permiten la inyección de código y la contaminación de prototipos. Actualice a la versión 4.18.0 para mitigar estos riesgos.

Publicado el 3 de abril de 2026

Se han descubierto múltiples vulnerabilidades en lodash, una biblioteca de utilidades popular para Node.js. Estas vulnerabilidades incluyen la inyección de código a través de `_.template` y la contaminación de prototipos a través de `_.unset` y `_.omit`. Los usuarios que pasan entradas no confiables a estas funciones están en riesgo. La versión 4.18.0 contiene parches para estos problemas.

La puntuación CVSS más alta es de 8.1, lo que indica una vulnerabilidad de alta gravedad.

¿Qué es Lodash?

Lodash es una biblioteca de utilidades de JavaScript que proporciona modularidad, rendimiento y extras. Ofrece consistencia, personalización y rendimiento. Lodash simplifica el trabajo con matrices, objetos, cadenas, números y más.

Se utiliza ampliamente en entornos Node.js y de navegador para realizar tareas de programación comunes de manera más eficiente. Lodash ofrece una variedad de funciones para tareas como mapeo, filtrado y reducción de datos. Para obtener más información, puede buscar todos los CVE de lodash.

CVE-2026-4800: Inyección de código en `_.template`

CVSS8.1

Versiones afectadasLos usuarios de versiones de lodash anteriores a la 4.18.0 se ven afectados si pasan entradas no confiables como nombres de clave en `options.imports` a la función `_.template`.

Alta gravedad: Ejecución de código explotable con potencial de impacto significativo.

La puntuación del Sistema de Puntuación de Predicción de Explotación (EPSS) de 0.068 indica una baja probabilidad de explotación.

La entrada no confiable que se pasa como nombres de clave en `options.imports` a `_.template` puede provocar la inyección de código. Un atacante puede inyectar expresiones de parámetros predeterminados, ejecutando código arbitrario durante la compilación de la plantilla.

Cómo solucionar CVE-2026-4800 en Lodash

Parchear ahora

1.Actualice lodash a la versión 4.18.0 o posterior.

Actualizar lodash

npm update lodash

Solución temporal: No pase entradas no confiables como nombres de clave en `options.imports`. Utilice solo nombres de clave estáticos controlados por el desarrollador.

NextGuard marca automáticamente CVE-2026-4800 si lodash aparece en cualquiera de sus proyectos supervisados; no se requiere búsqueda manual.

CVE-2026-2950: Contaminación de prototipos en `_.unset` y `_.omit`

CVSS6.5

Versiones afectadasLos usuarios de las versiones 4.17.23 y anteriores de lodash se ven afectados.

Gravedad media: Impacto limitado, pero potencial de denegación de servicio.

La puntuación del Sistema de Puntuación de Predicción de Explotación (EPSS) de 0.042 indica una baja probabilidad de explotación.

Las funciones `_.unset` y `_.omit` son vulnerables a la contaminación de prototipos debido a la validación de entrada insuficiente. Un atacante puede eludir las medidas de seguridad anteriores utilizando segmentos de ruta envueltos en matrices para eliminar propiedades de prototipos integrados.

Cómo solucionar CVE-2026-2950 en Lodash

Parchear ahora

1.Actualice lodash a la versión 4.18.0 o posterior.

Actualizar lodash

npm update lodash

Solución temporal: Ninguna. Actualice a la versión parcheada.

Manténgase a la vanguardia de las vulnerabilidades de Node.js

Identifique y corrija de forma proactiva las vulnerabilidades en sus proyectos de Node.js. Utilice NextGuard para supervisar sus dependencias de nodejs y recibir alertas sobre nuevos CVE.

Comparar planes

Preguntas frecuentes

Actualice lodash a la versión 4.18.0 para solucionar estas vulnerabilidades de seguridad críticas. Consulte regularmente todas las vulnerabilidades de nodejs para asegurarse de que sus aplicaciones permanezcan seguras. Priorice la aplicación de parches para mitigar los riesgos potenciales.

Temas relacionados

code injectionprototype pollutionjavascriptnodejslodash