MessageFormat原型污染漏洞（CVE-2025-57353）

攻击向量: 网络
攻击复杂度: 低
所需权限: 无
用户交互: 无
作用域: 未改变
机密性影响: 低
完整性影响: 无
可用性影响: 无

漏洞详情

包管理器: npm
受影响包: @messageformat/runtime
受影响版本: = 3.0.1
修复版本: 3.0.2

Node.js消息格式化包messageformat的运行时组件3.0.1版本存在原型污染漏洞。由于在处理消息数据时对嵌套消息键的验证不足，攻击者可以通过提供特制输入来操纵JavaScript对象的原型链。

这可能导致将任意属性注入到Object.prototype中，可能引发拒绝服务条件或意外的应用程序行为。该漏洞允许攻击者改变基础对象的原型，影响应用程序生命周期中所有后续对象实例。

漏洞类型: 原型污染（Prototype Pollution）
CWE标识: CWE-1321 - 对象原型属性控制不当修改
CVSS评分: 5.3（中危）

该漏洞已在版本3.0.2中得到修复。建议所有使用受影响版本的用户立即升级到修复版本。

开发人员应及时更新依赖包至修复版本，并对输入数据进行严格的验证和清理，以防止类似的原型污染攻击。