发布日期：2024-03-25
更新日期：2024-05-23

受影响系统：

Web3.js Web3.js < 4.2.1

描述：

---

CVE(CAN) ID: CVE-2024-21505

Web3.js是Web3开源的一个以太坊JSON RPC API和ChainSafe Systems维护的相关工具的TypeScript实现。
Web3.js 4.2.1之前版本的实用程序函数格式和mergeDeep存在原型污染漏洞，该漏洞源于不安全递归合并，攻击者可利用该漏洞控制对象原型，进而通过发送特制的输入更改从原型继承的对象行为。

<**>

建议：

---

厂商补丁：

Web3.js
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/web3/web3.js/commit/8ed041c6635d807b3da8960ad49e125e3d1b0e80

浏览次数：289
严重程度：0（网友投票）