VU#907705: Graphql-upload-minimal имеет уязвимость прототипного загрязнения.
Пакет graphql-upload-minimal версии 1.6.1 содержит уязвимость прототипного загрязнения. Эта уязвимость находится внутри функции processRequest(), которая отвечает за обработку загрузки файлов. Пакет анализирует запросы multipart/form-data для интеграции загруженных файлов в операции GraphQL. Уязвимость возникает из-за того, что предоставляемые пользователем пути для сопоставления файлов не проходят надлежащую проверку. Специальные имена свойств JavaScript, включая __proto__, могут использоваться для обхода цепочки прототипов. Этот обход позволяет злоумышленникам изменять глобальный Object.prototype. Изменение Object.prototype влияет на все объекты, наследующие от него в процессе Node.js. Последствия этого загрязнения могут включать повреждение логики, отказ в обслуживании или повышение привилегий. Чтобы смягчить эту проблему, пользователи должны обновиться до graphql-upload-minimal версии 1.6.3 или более поздней. Исправленная версия реализует проверки для предотвращения присвоения небезопасных свойств через цепочку прототипов.