Sider: 모든 AI와 채팅 가능: GPT-5, Claude, DeepSeek, Gemini, Grok

영향: CVE-2021-23337(https://github.com/advisories/GHSA-35jh-r3h4-6jhm) 수정으로 _.template의 변수 옵션에 대한 유효성 검사가 추가되었지만, options.imports 키 이름에는 동일한 유효성 검사가 적용되지 않았습니다. 두 경로 모두 동일한 Function() 생성자 싱크로 연결됩니다. 애플리케이션이 신뢰할 수 없는 입력을 options.imports 키 이름으로 전달하면 공격자는 템플릿 컴파일 시 임의 코드를 실행하는 기본 매개변수 표현식을 삽입할 수 있습니다. 또한 _.template는 assignInWith를 사용하여 가져오기를 병합하는데, 이는 for..in을 통해 상속된 속성을 열거합니다. Object.prototype이 다른 벡터에 의해 오염된 경우, 오염된 키가 가져오기 객체에 복사되어 Function()에 전달됩니다. 패치: 사용자는 버전 4.18.0으로 업그레이드해야 합니다. 해결 방법: options.imports에서 신뢰할 수 없는 입력을 키 이름으로 전달하지 마십시오. 개발자가 제어하는 ​​정적 키 이름만 사용하십시오.

영향: Lodash 버전 4.17.23 이하에서는 `_.unset` 및 `_.omit` 함수에서 프로토타입 오염 취약점이 발견되었습니다. (CVE-2025-13465: https://github.com/lodash/lodash/security/advisories/GHSA-xxjr-mmjv-4gpg)에 대한 수정 사항은 문자열 키 멤버에 대해서만 보호하므로 공격자는 배열로 래핑된 경로 세그먼트를 전달하여 검사를 우회할 수 있습니다. 이로 인해 `Object.prototype`, `Number.prototype`, `String.prototype`과 같은 내장 프로토타입의 속성을 삭제할 수 있습니다. 이 문제는 프로토타입 속성 삭제는 허용하지만 원래 동작을 덮어쓰는 것은 허용하지 않습니다. 패치: 이 문제는 4.18.0 버전에서 패치되었습니다. 해결 방법: 없음. 패치된 버전으로 업그레이드하십시오.

Lodash 버전 4.0.0부터 4.17.22까지는 `_.unset` 및 `_.omit` 함수에서 프로토타입 오염 취약점이 존재합니다. 공격자는 조작된 경로를 전달하여 Lodash가 전역 프로토타입에서 메서드를 삭제하도록 만들 수 있습니다. 이 취약점은 속성 삭제는 허용하지만 원래 동작을 덮어쓰는 것은 허용하지 않습니다. 이 문제는 4.17.23 버전에서 패치되었습니다.