Katalog CVE

CVE-2026-12644

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

Wersje pakietu ts-deepmerge przed 8.0.0 są podatne na nieobsłużony wyjątek z powodu niewłaściwego przetwarzania wbudowanych metod Object.prototype (takich jak toString, valueOf). Gdy dane wejściowe kontrolowane przez użytkownika zawierają te klucze z wartościami, które nie są funkcjami, wynikowy obiekt scalony staje się uszkodzony, co prowadzi do błędów typu TypeError.

Ocena ryzyka

Organizacja może doświadczyć awarii aplikacji, co prowadzi do przerwy w dostępności usług oraz potencjalnych strat finansowych. Niewłaściwe przetwarzanie danych wejściowych może również prowadzić do nieprzewidzianych zachowań aplikacji.

Rekomendacja

Zaleca się aktualizację pakietu ts-deepmerge do wersji 8.0.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt kodu w celu zapewnienia prawidłowego przetwarzania danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Versions of the package ts-deepmerge before 8.0.0 are vulnerable to Uncaught Exception due to the improper handling of built-in Object.prototype methods (such as toString, valueOf). When user-controlled input contains these keys with non-function values, the resulting merged object becomes broken — any string context operation throws a TypeError, crashing the application.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS