MEDIUMCVE-2026-2950CVSS 6.5

lodash 存在原型污染漏洞，通过数组路径绕过 `_.unset` 和 `_.omit`

Q: 如何修复 lodash 中的 CVE-2026-2950？

彻底审查代码，并考虑实施对 `_.unset` 和 `_.omit` 的输入进行额外的验证。

平台

nodejs

组件

lodash

修复版本

4.18.0

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-2950 是 Lodash 库中发现的一个原型污染漏洞，影响了 4.17.23 及更早版本。该漏洞允许攻击者通过 .unset 和 .omit 函数删除内置原型的属性，例如 Object.prototype，虽然不能覆盖其原始行为，但可能导致应用程序出现意外行为。目前已发布 4.18.0 版本修复此问题。

影响与攻击场景

CVE-2026-2950 影响 Lodash 4.17.23 之前的版本，在 .unset 和 .omit 函数中引入了原型污染漏洞。虽然为 CVE-2025-13465 实施的修复旨在减轻此问题，但它仅保护字符串键成员。攻击者可以通过传递数组包装的路径段来绕过此检查。这允许从内置原型（例如 Object.prototype、Number.prototype 和 String.prototype）中删除属性，从而损害使用 Lodash 的应用程序的稳定性和安全性。根据 CVSS，此漏洞的严重程度评分为 6.5。原型操作可能导致意外行为、运行时错误，并可能导致恶意代码执行。

利用背景

通过向 .unset 或 .omit 提供由密钥数组组成的路径来利用此漏洞。当此路径被错误处理时，允许修改或删除对象、数字或字符串原型的属性。例如，攻击者可以删除 Object.prototype 的 toString 属性，从而导致整个应用程序中对象到字符串的转换出现错误。利用相对简单，不需要特殊权限，从而增加了大规模攻击的风险。利用上下文取决于使用 Lodash 的应用程序以及攻击者控制易受攻击函数输入的程度。

哪些人处于风险中翻译中…

Applications built with Node.js that utilize Lodash, particularly those that accept user-supplied data and pass it directly to .unset or .omit functions, are at significant risk. Projects relying on older versions of Lodash within complex JavaScript ecosystems are also vulnerable, as are developers who have not kept their dependencies up-to-date.

检测步骤翻译中…

• nodejs:

  npm list lodash

This command will list installed Lodash versions. Check if the version is below 4.18.0. • nodejs:

  find node_modules -name "lodash.js" -print0 | xargs -0 grep -i "_.unset" -l

This searches for files containing .unset within the nodemodules directory, indicating potential usage of the vulnerable function. • generic web: Inspect application logs for unusual errors or exceptions related to prototype properties. Look for patterns suggesting property deletion or modification. • generic web: Review application code for instances of .unset and .omit where user-supplied input is used to construct the path segments.

攻击时间线

2026-04-01Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

NextGuard98% 仍然脆弱

EPSS

0.06% (17% 百分位)

CISA SSVC

利用情况none

可自动化yes

受影响的软件

组件lodash

供应商osv

影响范围修复版本

4.17.23 – 4.18.04.18.0

4.0.0 – 4.18.04.18.0

—4.18.0

弱点分类 (CWE)

CWE-1321

时间线

已保留2026-02-21
发布日期2026-04-01
修改日期2026-04-02
EPSS 更新日期2026-04-08

披露后0天发布补丁

缓解措施和替代方案

建议的解决方案是升级到 Lodash 4.18.0 或更高版本。此版本包含修复程序，通过正确验证所有密钥类型（包括那些包装在数组中的密钥类型）来解决原型污染漏洞。如果无法立即升级到最新版本，建议彻底审查使用 .unset 和 .omit 的代码，查找可能容易受到攻击的模式。实施对这些函数的输入进行额外的验证可以帮助减轻风险，但这并非完整的解决方案。监测应用程序是否存在异常行为也很重要。

修复方法翻译中…

Actualice la biblioteca lodash a la versión 4.18.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de prototype pollution. Ejecute `npm install lodash@latest` o `yarn add lodash@latest` para actualizar.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-2950 是什么 — lodash 中的漏洞？

这是一种允许修改对象类型原型属性的漏洞，从而影响该对象类型的所有实例。

lodash 中的 CVE-2026-2950 是否会影响我？

它可能导致意外行为、运行时错误，并可能允许执行恶意代码。

如何修复 lodash 中的 CVE-2026-2950？

彻底审查代码，并考虑实施对 .unset 和 .omit 的输入进行额外的验证。

CVE-2026-2950 是否正在被积极利用？

有一些静态代码分析工具可以帮助识别易受攻击函数的使用和可疑的代码模式。

在哪里可以找到 lodash 关于 CVE-2026-2950 的官方安全通告？

保持依赖项更新，定期进行安全审查，并遵循安全的编码最佳实践。