製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

UnJS Teamのdefuにおけるオブジェクトプロトタイプ属性の不適切に制御された変更に関する脆弱性

タイトル	UnJS Teamのdefuにおけるオブジェクトプロトタイプ属性の不適切に制御された変更に関する脆弱性
概要	defuは再帰的にデフォルトプロパティを割り当てることを可能にするソフトウェアです。バージョン6.1.5以前では、サニタイズされていないユーザー入力（例：解析されたJSONリクエストボディ、データベースレコード、信頼されていないソースからの設定ファイル）を`defu()`の最初の引数として渡すアプリケーションにプロトタイプ汚染の脆弱性が存在します。`__proto__`キーを含む細工されたペイロードにより、マージされた結果が意図されたデフォルト値を上書きされる可能性があります。内部の`_defu`関数は、`Object.assign({}, defaults)`を使ってdefaultsオブジェクトをコピーしていました。`Object.assign`は`__proto__`セッターを呼び出し、結果のオブジェクトの`[[Prototype]]`を攻撃者制御の値に置き換えます。汚染されたプロトタイプから継承されたプロパティは、その後`for...in`ループ内の既存の`__proto__`キーガードを回避し、最終結果に含まれます。バージョン6.1.5では、`Object.assign({}, defaults)`をオブジェクトスプレッド構文（`{...defaults}`）に置き換えています。これにより、`[[DefineOwnProperty]]`が使用され、`__proto__`セッターは呼び出されません。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月6日0:00
登録日	2026年4月30日12:13
最終更新日	2026年4月30日12:13

CVSS3.0 : 重要
スコア	7.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

影響を受けるシステム

UnJS Team

defu 6.1.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-35209	https://www.cve.org/CVERecord?id=CVE-2026-35209
National Vulnerability Database (NVD)
2	CVE-2026-35209	https://nvd.nist.gov/vuln/detail/CVE-2026-35209

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-1321	https://cwe.mitre.org/data/definitions/1321.html

ベンダー情報

No	名前	URL
GitHub
1	Prototype pollution via `__proto__` key in defaults argument Advisory unjs/defu GitHub	https://github.com/unjs/defu/security/advisories/GHSA-737v-mqg7-c878

その他

No	名前	URL
関連文書
1	fix: prevent prototype pollution via `__proto__` by kricsleo Pull Request #156 unjs/defu GitHub	https://github.com/unjs/defu/pull/156
2	fix: prevent prototype pollution via `__proto__` in defaults (#156) unjs/defu@3942bfb GitHub	https://github.com/unjs/defu/commit/3942bfbbcaa72084bd4284846c83bd61ed7c8b29
3	Release v6.1.5 unjs/defu GitHub	https://github.com/unjs/defu/releases/tag/v6.1.5

変更履歴

No	変更内容	変更日
1	[2026年04月30日] 掲載	2026年4月30日12:13

NVD脆弱性情報

CVE-2026-35209

概要	defu is software that allows uers to assign default properties recursively. Prior to version 6.1.5, applications that pass unsanitized user input (e.g. parsed JSON request bodies, database records, or config files from untrusted sources) as the first argument to `defu()` are vulnerable to prototype pollution. A crafted payload containing a `__proto__` key can override intended default values in the merged resul. The internal `_defu` function used `Object.assign({}, defaults)` to copy the defaults object. `Object.assign` invokes the `__proto__` setter, which replaces the resulting object's `[[Prototype]]` with attacker-controlled values. Properties inherited from the polluted prototype then bypass the existing `__proto__` key guard in the `for...in` loop and land in the final result. Version 6.1.5 replaces `Object.assign({}, defaults)` with object spread (`{ ...defaults }`), which uses `[[DefineOwnProperty]]` and does not invoke the `__proto__` setter.
公表日	2026年4月7日3:16
登録日	2026年4月15日11:27
最終更新日	2026年4月7日22:20

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/unjs/defu/commit/3942bfbbcaa72084bd4284846c83bd61ed7c8b29	security-advisories@github.com
2	https://github.com/unjs/defu/pull/156	security-advisories@github.com
3	https://github.com/unjs/defu/releases/tag/v6.1.5	security-advisories@github.com
4	https://github.com/unjs/defu/security/advisories/GHSA-737v-mqg7-c878	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-1321	オブジェクトプロトタイプ属性の不適切に制御された変更 (プロトタイプの汚染)	https://cwe.mitre.org/data/definitions/1321.html