fast-redact受影响版本中的漏洞CVE-2025-57319

fast-redact 是一个 JavaScript 库，具备快速对象删除功能，提供快速对象删除功能的软件包，但它主要用于对 JavaScript 对象进行脱敏。

一、基本情况

fast-redact 通过序列化 JavaScript 对象来实现编辑功能，开发者可以通过指定对象属性的路径，可将对象中相应属性的值进行屏蔽或替换。

fast-redact 是一个非常快速的对象遮蔽库，核心在于它的优化机制，能够在序列化对象时快速且有效地删除或替换指定路径上的敏感数据。

栋科技漏洞库关注到在fast-redact版本3.5.0及其之前的版本中存在的原型污染漏洞，漏洞被追踪为CVE-2025-57319，CVSS 3.X评分7.5。

二、漏洞分析

CVE-2025-57319漏洞是位于fast-redact版本3.5.0及之前的版本中的nestedRestore函数存在的原型污染漏洞，可能导致拒绝服务（DoS）。

具体来说，漏洞源于在对象编校操作期间对用户提供的指令验证不足，其修饰符模块的nestedRestore函数中对原型修改的限制不当所致。

该漏洞允许攻击者操纵内置JavaScript对象的原型链，通过提供精心制作的负载注入Object.prototype上的属性，导致拒绝服务（DoS）等。

攻击者通过提供包含针对Object.prototype的深度嵌套路径的特制输入将任意属性注入基础对象的原型中，对基本对象行为未经授权修改。

因此来说，该漏洞的存在可能导致拒绝服务情况、数据完整性受损或依赖库进行敏感数据清理任务的应用程序中的跨站点脚本攻击等情况。

需要注意的是，供应商对此表示争议，因为报告者仅通过内部实用函数演示访问属性，并没有通过公共API实现原型污染的手段。

三、影响范围

fast-redact <= 3.5.0

四、修复建议

未知

五、参考链接

管理员已设置登录后刷新可查看