प्लेटफ़ॉर्म
nodejs
घटक
defu
में ठीक किया गया
6.1.6
6.1.5
CVE-2026-35209 एक प्रोटोटाइप प्रदूषण भेद्यता है जो defu नामक Node.js लाइब्रेरी में पाई गई है। यह भेद्यता तब उत्पन्न होती है जब असुरक्षित उपयोगकर्ता इनपुट को defu() फ़ंक्शन में पहले तर्क के रूप में पारित किया जाता है। संस्करण 6.1.5 से पहले के संस्करण प्रभावित हैं। इस भेद्यता को ठीक करने के लिए, लाइब्रेरी को संस्करण 6.1.5 या बाद के संस्करण में अपडेट करें।
यह भेद्यता हमलावरों को डिफ़ॉल्ट मानों को ओवरराइड करने की अनुमति देती है, जिससे संभावित रूप से एप्लिकेशन के व्यवहार को बदला जा सकता है या अनधिकृत पहुंच प्राप्त की जा सकती है। एक दुर्भावनापूर्ण हमलावर proto कुंजी युक्त एक तैयार पेलोड का उपयोग करके ऐसा कर सकता है, जो मर्ज किए गए परिणाम में इच्छित डिफ़ॉल्ट मानों को ओवरराइड करता है। उदाहरण के लिए, एक हमलावर isAdmin फ़ील्ड को true पर सेट कर सकता है, जिससे उन्हें एप्लिकेशन में व्यवस्थापकीय विशेषाधिकार मिल सकते हैं। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो बाहरी स्रोतों से डेटा को पार्स करते हैं, जैसे JSON अनुरोध निकाय, डेटाबेस रिकॉर्ड या अविश्वसनीय स्रोतों से कॉन्फ़िगरेशन फ़ाइलें।
CVE-2026-35209 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर की जानकारी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) ज्ञात हैं, जो इस भेद्यता के शोषण की संभावना को दर्शाता है। यह भेद्यता 2026-04-04 को प्रकाशित हुई थी। सक्रिय शोषण अभियान की कोई जानकारी नहीं है।
Applications built with Node.js that utilize the defu package for managing configuration or default values are at risk. This includes web applications, APIs, and backend services. Specifically, applications that parse user-supplied JSON data or load configuration files from untrusted sources are particularly vulnerable.
• nodejs / server:
npm audit defu• nodejs / supply-chain:
find . -name 'package.json' -print0 | xargs -0 grep '"defu": ["^6.1.5"']• generic web: Inspect application logs for unusual object properties or unexpected behavior after processing user input. Look for instances where default values are being unexpectedly overridden.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35209 को कम करने के लिए, लाइब्रेरी को संस्करण 6.1.5 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप इनपुट को defu() फ़ंक्शन में पास करने से पहले उसे सैनिटाइज़ कर सकते हैं। इसमें proto कुंजी को हटाना या उसे अमान्य बनाना शामिल हो सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके दुर्भावनापूर्ण अनुरोधों को ब्लॉक किया जा सकता है। इस भेद्यता का पता लगाने के लिए, आप अपने लॉग में असामान्य व्यवहार या अनपेक्षित मानों की तलाश कर सकते हैं।
Actualiza la librería 'defu' a la versión 6.1.5 o superior para mitigar la vulnerabilidad de contaminación de prototipos. Esto se soluciona reemplazando `Object.assign({}, defaults)` con object spread (`{ ...defaults }`), que evita la invocación del setter `__proto__`.भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-35209 defu Node.js लाइब्रेरी में एक प्रोटोटाइप प्रदूषण भेद्यता है जो हमलावरों को डिफ़ॉल्ट मानों को ओवरराइड करने की अनुमति देती है।
यदि आप defu लाइब्रेरी के संस्करण 6.1.5 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-35209 को ठीक करने के लिए, लाइब्रेरी को संस्करण 6.1.5 या बाद के संस्करण में अपडेट करें।
सार्वजनिक रूप से उपलब्ध PoC के कारण, इस भेद्यता के सक्रिय शोषण की संभावना है।
आधिकारिक सलाहकार के लिए defu GitHub रिपॉजिटरी की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।