min-document原型污染漏洞分析

漏洞详情

包名称: npm min-document
受影响版本: <= 2.19.0
已修复版本: 2.19.1

漏洞描述

min-document包在2.19.1之前版本存在一个漏洞，该漏洞源于removeAttributeNS方法对命名空间操作的处理不当。通过处理涉及__proto__属性的恶意输入，攻击者可以操纵JavaScript对象的原型链，从而导致拒绝服务或任意代码执行。

此问题源于对属性命名空间移除操作验证不足，允许对关键对象原型进行意外修改。该漏洞已在2.19.1版本中得到修复。

参考资料

• https://nvd.nist.gov/vuln/detail/CVE-2025-57352
• Raynos/min-document#54
• https://github.com/VulnSageAgent/PoCs/tree/main/JavaScript/prototype-pollution/CVE-2025-57352
• Raynos/min-document#55
• Raynos/min-document@fe32e8d

安全评分

严重程度: 低
CVSS总体评分: 2.9/10

CVSS v4基础指标

可利用性指标:

• 攻击向量: 网络
• 攻击复杂度: 高
• 攻击要求: 存在
• 所需权限: 无
• 用户交互: 无

脆弱系统影响指标:

• 机密性: 低
• 完整性: 低
• 可用性: 低

弱点分类

弱点: CWE-1321
描述: 对象原型属性控制不当修改（原型污染）
产品从上游组件接收指定要在对象中初始化或更新的属性的输入，但未能正确控制对象原型属性的修改。

标识符

• CVE ID: CVE-2025-57352
• GHSA ID: GHSA-rx8g-88g5-qh64

源代码

Raynos/min-document

致谢

G-Rath分析师