JVNDB-2026-004538

Locutusにおけるオブジェクトプロトタイプ属性の不適切に制御された変更に関する脆弱性

Locutusは教育目的で、他のプログラミング言語の標準ライブラリをJavaScriptに提供するライブラリです。バージョン2.0.12から2.0.39未満の間、Locutusにはプロトタイプ汚染の脆弱性が存在していました。禁止されたキーがユーザー入力に含まれているかをチェックすることでプロトタイプ汚染を軽減しようとした以前の修正があったにもかかわらず、String.prototypeを使用した細工された入力によりObject.prototypeを汚染することが依然として可能でした。この問題はバージョン2.0.39で修正されました。

Locutus

• Locutus 2.0.12 以上 2.0.39 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Prototype pollution in locutus (>2.0.12)  Advisory  locutusjs/locutus  GitHub

1. オブジェクトプロトタイプ属性の不適切に制御された変更 (プロトタイプの汚染)(CWE-1321) [その他]

1. CVE-2026-25521

1. National Vulnerability Database (NVD) : CVE-2026-25521
2. 関連文書 : fix: Harden parse_str prototype pollution guard against includes() by…  locutusjs/locutus@042af9c  GitHub

• [2026年02月24日]
    掲載