CRITICAL🇬🇧 English

CVE-2025-63703

Prototype Pollution w pakiecie npm parse-ini v1.0.6

CVSS 9.8v3.1pub. 2026-05-07upd. 2026-05-08

Pakiet npm parse-ini w wersji 1.0.6 zawiera podatność Prototype Pollution w pliku index.js, umożliwiającą atakującemu manipulację prototypami obiektów JavaScript. Podatność uzyskała ocenę krytyczną CVSS 9.8, co oznacza poważne zagrożenie dla aplikacji korzystających z tego pakietu.

Pokaż oryginał (EN)

npm package parse-ini v1.0.6 is vulnerable to Prototype Pollution in index.js().

🤖 Analiza AI
Jak działa

Prototype Pollution (CWE-1321) polega na możliwości zmodyfikowania prototypu bazowego obiektu JavaScript (Object.prototype) poprzez spreparowane dane wejściowe. W przypadku parse-ini podatna funkcja w pliku index.js przetwarza dane z pliku INI bez odpowiedniej walidacji kluczy, co pozwala atakującemu na wstrzyknięcie właściwości do prototypu przez specjalnie skonstruowany klucz (np. __proto__). Zmodyfikowany prototyp może następnie wpłynąć na zachowanie innych obiektów w całej aplikacji Node.js.

Skutki

Atakujący może zmodyfikować właściwości dziedziczone przez wszystkie obiekty w aplikacji, co może prowadzić do obejścia mechanizmów bezpieczeństwa, ujawnienia poufnych danych, naruszenia integralności danych lub — w zależności od kontekstu aplikacji — do zdalnego wykonania kodu (RCE) bądź odmowy usługi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jeśli bezpieczna wersja pakietu nie jest dostępna, zaleca się zastąpienie parse-ini alternatywnym, aktywnie utrzymywanym pakietem do parsowania plików INI. Warto również wprowadzić walidację i sanityzację danych wejściowych przed ich przetwarzaniem.

Kogo dotyczy

Pakiet npm parse-ini w wersji 1.0.6; aplikacje Node.js wykorzystujące ten pakiet do przetwarzania plików INI.

Uwagi

Podatność została udokumentowana przez użytkownika GitHub '6en6ar' w formie publicznego gist zawierającego opis exploitacji. Dostępność publicznego proof-of-concept zwiększa ryzyko praktycznego wykorzystania tej podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje