CVE-2025-13465
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 72 - wyżej niż 72% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece Lodash w wersjach od 4.0.0 do 4.17.22 umożliwia zanieczyszczenie prototypu (prototype pollution) poprzez funkcje _.unset i _.omit. Atakujący może przekazać spreparowane ścieżki, które spowodują usunięcie metod z globalnych prototypów.
Ocena ryzyka
Ryzyko polega na możliwości usunięcia kluczowych metod z prototypów obiektów, co może prowadzić do nieoczekiwanego działania aplikacji, błędów lub odmowy usługi (DoS). Podatność nie pozwala na nadpisanie zachowania, ale usunięcie metod może zakłócić działanie systemu.
Rekomendacja
Zaleca się natychmiastową aktualizację biblioteki Lodash do wersji 4.17.23 lub nowszej, która zawiera poprawkę usuwającą podatność.
Oryginalny opis (angielski, źródło NVD)
Lodash versions 4.0.0 through 4.17.22 are vulnerable to prototype pollution in the _.unset and _.omit functions. An attacker can pass crafted paths which cause Lodash to delete methods from global prototypes. The issue permits deletion of properties but does not allow overwriting their original behavior. This issue is patched on 4.17.23

