lodash में `_.unset` और `_.omit` में ऐरे पाथ बाईपास के माध्यम से प्रोटोटाइप प्रदूषण से असुरक्षित

यह भेद्यता हमलावरों को Object.prototype, Number.prototype, और String.prototype जैसे अंतर्निहित प्रोटोटाइप से गुणों को हटाने की अनुमति देती है। हालांकि यह गुणों को ओवरराइट करने की अनुमति नहीं देता है, लेकिन प्रोटोटाइप गुणों को हटाने से एप्लिकेशन के व्यवहार में अप्रत्याशित परिवर्तन हो सकते हैं, जिससे संभावित रूप से सुरक्षा कमजोरियां या एप्लिकेशन क्रैश हो सकते हैं। CVE-2025-13465 के लिए पहले के फिक्स में केवल स्ट्रिंग कुंजी सदस्यों की सुरक्षा की गई थी, जिससे हमलावरों को सरणी-रैप्ड पथ खंडों का उपयोग करके इस सुरक्षा को दरकिनार करने की अनुमति मिलती है। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो Lodash पर बहुत अधिक निर्भर करते हैं और प्रोटोटाइप गुणों पर भरोसा करते हैं।

Applications built with Node.js that utilize Lodash, particularly those that accept user-supplied data and pass it directly to .unset or .omit functions, are at significant risk. Projects relying on older versions of Lodash within complex JavaScript ecosystems are also vulnerable, as are developers who have not kept their dependencies up-to-date.

• nodejs:

  npm list lodash

This command will list installed Lodash versions. Check if the version is below 4.18.0. • nodejs:

  find node_modules -name "lodash.js" -print0 | xargs -0 grep -i "_.unset" -l

This searches for files containing .unset within the nodemodules directory, indicating potential usage of the vulnerable function. • generic web: Inspect application logs for unusual errors or exceptions related to prototype properties. Look for patterns suggesting property deletion or modification. • generic web: Review application code for instances of .unset and .omit where user-supplied input is used to construct the path segments.

1. 2026-04-01Disclosure

   disclosure

1. आरक्षित2026-02-21
2. प्रकाशित2026-04-01
3. संशोधित2026-04-02
4. EPSS अद्यतन2026-04-08

CVE-2026-2950 को कम करने के लिए, Lodash को संस्करण 4.18.0 या बाद के संस्करण में अपग्रेड करना महत्वपूर्ण है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू कर सकते हैं जो दुर्भावनापूर्ण इनपुट को फ़िल्टर करते हैं जो प्रोटोटाइप प्रदूषण का प्रयास करते हैं। इसके अतिरिक्त, आप अपने कोड में इनपुट सत्यापन जोड़ सकते हैं ताकि यह सुनिश्चित किया जा सके कि .unset और .omit फ़ंक्शंस को केवल विश्वसनीय डेटा के साथ ही कॉल किया जाए। अपग्रेड के बाद, यह सत्यापित करें कि प्रोटोटाइप गुण अपेक्षित रूप से काम कर रहे हैं और कोई अप्रत्याशित व्यवहार नहीं है।

अंतिम अपडेट

4.18.1हाल ही में