UNKNOWNCVE-2026-35209
CVE-2026-35209: defu原型污染漏洞,版本<6.1.5
平台
nodejs
组件
defu
已修复版本
6.1.5
CVE-2026-35209 是 defu 库中的一个原型污染漏洞。当应用程序将未经处理的用户输入作为第一个参数传递给 `defu()` 函数时,就可能受到原型污染攻击。攻击者可以构造包含 `__proto__` 键的恶意载荷,覆盖合并结果中的默认值。受影响的版本包括 6.1.5 之前的版本。此问题已在 6.1.5 版本中修复。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
CVE-2026-35209 是什么?
CVE-2026-35209 是 defu 库中的一个原型污染漏洞,攻击者可以通过操纵 `__proto__` 属性来修改对象的原型。
我是否受到 CVE-2026-35209 的影响?
如果您的项目使用了 6.1.5 之前的 defu 版本,并且将未经过滤的用户输入传递给 `defu()` 函数,那么您可能受到此漏洞的影响。
如何修复 CVE-2026-35209?
将 defu 升级到 6.1.5 或更高版本可以修复此漏洞。升级后,该库将防止原型污染攻击。