漏洞详情

包管理器: npm
受影响包: rollbar

受影响版本

• <= 2.26.4

• = 3.0.0-alpha1, <= 3.0.0-beta4

已修复版本

• 2.26.5
• 3.0.0-beta5

漏洞影响

merge()函数存在原型污染漏洞。如果应用程序代码使用不受信任的输入调用rollbar.configure()，则可能发生原型污染。

修复方案

补丁

已在2.26.5和3.0.0-beta5版本中修复。

临时解决方案

确保传递给rollbar.configure()的值不包含不受信任的输入。

参考链接

• GHSA-xcg2-9pp4-j82x
• rollbar/rollbar.js#1390 (3.x修复)
• rollbar/rollbar.js#1394 (2.26.x修复)
• rollbar/rollbar.js@61032fe
• rollbar/rollbar.js@d717def
• https://nvd.nist.gov/vuln/detail/CVE-2025-62517

安全评分

严重程度: 中等
CVSS总体评分: 5.9/10

CVSS v3基础指标

• 攻击向量: 网络
• 攻击复杂度: 高
• 所需权限: 无
• 用户交互: 无
• 范围: 未改变
• 机密性: 无影响
• 完整性: 高
• 可用性: 无影响

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

弱点分类

弱点: CWE-1321
描述: 对象原型属性控制不当修改（原型污染）
产品从上游组件接收指定要在对象中初始化或更新的属性的输入，但未能正确控制对象原型属性的修改。