MessageFormat原型污染漏洞分析

漏洞概述

CVE-ID: CVE-2025-57353
漏洞等级: 中等
CVSS评分: 5.3
影响版本: @messageformat/runtime 3.0.1
修复版本: @messageformat/runtime 3.0.2

漏洞详情

Node.js messageformat包的运行时组件3.0.1版本存在原型污染漏洞。在处理消息数据时，由于对嵌套消息键的验证不足，攻击者可以通过提供特制输入来操纵JavaScript对象的原型链。

技术影响

该漏洞可能导致以下后果：

• 将任意属性注入到Object.prototype中
• 可能导致拒绝服务条件
• 引发意外的应用程序行为
• 攻击者能够改变基础对象的原型，影响应用程序生命周期中所有后续对象实例

漏洞原理

漏洞源于在处理消息数据时对嵌套键的验证不充分，攻击者可以利用此缺陷污染对象原型，从而影响整个应用程序的对象行为。

修复方案

版本3.0.2包含了对此漏洞的修复，建议所有使用受影响版本的用户立即升级到修复版本。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-57353
• messageformat/messageformat#453
• https://github.com/VulnSageAgent/PoCs/tree/main/JavaScript/prototype-pollution/CVE-2025-57353
• messageformat/messageformat#464

安全建议

开发人员应及时更新依赖包到安全版本，并加强对用户输入的验证，防止类似的原型污染攻击。