js · flat-to-nestedCrítico
flat-to-nested: prototype pollution in convert() via __proto__
A função `convert()` do flat-to-nested utiliza objetos comuns para tabelas de consulta temporárias, permitindo poluição de protótipo através de chaves `__proto_
O que mudou
A função `convert()` do flat-to-nested utiliza objetos comuns para tabelas de consulta temporárias, permitindo poluição de protótipo através de chaves `__proto__`.
Quem isso afeta
Qualquer aplicação que passe registros planos influenciados por atacante para `convert()`.
O que fazer hoje
Atualize para uma versão corrigida ou aplique a correção sugerida: use `Object.create(null)` para `temp` e `pendingChildOf`.
A esteira
Coletado→
Auditado→
Redigido→
Publicado