Browsec VPN – Gratis VPN for Chrome

Virkning: Rettelsen for CVE-2021-23337 (https://github.com/advisories/GHSA-35jh-r3h4-6jhm) la til validering for variabelalternativet i _.template, men brukte ikke samme validering på nøkkelnavn i options.imports. Begge banene flyter inn i samme Function()-konstruktøravløp. Når et program sender uklarert input som nøkkelnavn i options.imports, kan en angriper injisere standardparameteruttrykk som kjører vilkårlig kode under malkompileringen. I tillegg bruker _.template assignInWith til å slå sammen imports, som lister opp arvede egenskaper via for..in. Hvis Object.prototype har blitt forurenset av en annen vektor, kopieres de forurensede nøklene til imports-objektet og sendes til Function(). Oppdateringer: Brukere bør oppgradere til versjon 4.18.0. Løsninger: Ikke send uklarert input som nøkkelnavn i options.imports. Bruk kun utviklerkontrollerte, statiske nøkkelnavn.

Virkning: Lodash versjon 4.17.23 og tidligere er sårbare for prototypeforurensning i _.unset- og _.omit-funksjonene. Rettelsen for (CVE-2025-13465: https://github.com/lodash/lodash/security/advisories/GHSA-xxjr-mmjv-4gpg) beskytter bare mot strengnøkkelmedlemmer, slik at en angriper kan omgå sjekken ved å sende array-innpakkede stisegmenter. Dette tillater sletting av egenskaper fra innebygde prototyper som Object.prototype, Number.prototype og String.prototype. Problemet tillater sletting av prototypeegenskaper, men tillater ikke overskriving av deres opprinnelige oppførsel. Oppdateringer: Dette problemet er oppdatert i 4.18.0. Løsninger: Ingen. Oppgrader til den oppdaterte versjonen.

Lodash versjon 4.0.0 til 4.17.22 er sårbare for prototypeforurensning i _.unset- og _.omit-funksjonene. En angriper kan sende ut håndlagde stier som fører til at Lodash sletter metoder fra globale prototyper. Problemet tillater sletting av egenskaper, men tillater ikke overskriving av deres opprinnelige oppførsel. Dette problemet er oppdatert i 4.17.23.