Sider：与所有人工智能聊天：GPT-5、Claude、DeepSeek、Gemini、Grok

影响：CVE-2021-23337 (https://github.com/advisories/GHSA-35jh-r3h4-6jhm) 的修复程序为 `_.template` 中的变量选项添加了验证，但并未对 `options.imports` 的键名应用相同的验证。这两条路径都指向同一个 `Function()` 构造函数。当应用程序将不受信任的输入作为 `options.imports` 的键名传递时，攻击者可以注入默认参数表达式，从而在模板编译时执行任意代码。此外，`_.template` 使用 `assignInWith` 合并导入，该函数通过 `for..in` 枚举继承的属性。如果 `Object.prototype` 已被任何其他攻击向量污染，则被污染的键将被复制到导入对象中并传递给 `Function()`。补丁：用户应升级到 4.18.0 版本。解决方法：不要将不受信任的输入作为 `options.imports` 中的键名传递。仅使用开发者控制的静态键名。

影响：Lodash 4.17.23 及更早版本中的 `_.unset` 和 `_.omit` 函数存在原型污染漏洞。针对此漏洞的修复（CVE-2025-13465：https://github.com/lodash/lodash/security/advisories/GHSA-xxjr-mmjv-4gpg）仅针对字符串类型的键成员进行防护，因此攻击者可以通过传递数组包裹的路径段来绕过此检查。这允许从内置原型（例如 `Object.prototype`、`Number.prototype` 和 `String.prototype`）中删除属性。此漏洞允许删除原型属性，但不允许覆盖其原始行为。补丁：此漏洞已在 4.18.0 版本中修复。解决方法：无。请升级到已修复的版本。

Lodash 4.0.0 至 4.17.22 版本中的 `_.unset` 和 `_.omit` 函数存在原型污染漏洞。攻击者可以传递精心构造的路径，导致 Lodash 从全局原型中删除方法。此漏洞允许删除属性，但不允许覆盖其原始行为。此漏洞已在 4.17.23 版本中修复。