漏洞概述
seroval 是一个用于 JavaScript 值序列化与反序列化的库,支持比 JSON.stringify 更复杂的结构。在 1.4.0 及更早版本中,由于对输入对象键缺乏充分验证,在 JSON 反序列化过程中,攻击者可构造恶意对象键,导致原型污染(Prototype Pollution)漏洞。该漏洞仅影响 seroval 的 JSON 反序列化功能,已在 1.4.1 版本中修复。
漏洞详情
- CVE 编号:CVE-2026-23736
- 漏洞类型:原型污染(CWE-1321)
- CVSS 评分:7.3(HIGH)
- 影响版本:seroval ≤ 1.4.0
影响范围
使用 seroval 库进行 JSON 反序列化的应用程序,若其版本为 1.4.0 或更低,且接受不受信任的输入数据,则可能受到此漏洞影响。
风险分析
攻击者可通过网络发送特制的 JSON 数据,在无需用户交互、无需身份认证的情况下触发原型污染。该漏洞可能导致应用程序逻辑被篡改、敏感信息泄露或进一步的远程代码执行风险,具体取决于应用上下文。
修复建议
- 立即升级 seroval 至 1.4.1 或更高版本,该版本已修复此漏洞。
- 如无法立即升级,应避免对不可信来源的数据使用 seroval 的反序列化功能,或在反序列化前对输入对象键进行严格过滤和验证。
