Vulnerabilidad en messageformat (CVE-2025-57353)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/09/2025
Última modificación:
31/10/2025
Descripción
Los componentes de tiempo de ejecución del paquete messageformat para Node.js anteriores a la versión 3.0.1 contienen una vulnerabilidad de contaminación de prototipos. Debido a la validación insuficiente de claves de mensaje anidadas durante el procesamiento de datos de mensajes, un atacante puede manipular la cadena de prototipos de objetos JavaScript al proporcionar una entrada especialmente diseñada. Esto puede resultar en la inyección de propiedades arbitrarias en el Object.prototype, lo que podría llevar a condiciones de denegación de servicio o un comportamiento inesperado de la aplicación. La vulnerabilidad permite a los atacantes alterar el prototipo de objetos base, impactando todas las instancias de objetos subsiguientes a lo largo del ciclo de vida de la aplicación. Este problema permanece sin abordar en la última versión disponible.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/VulnSageAgent/PoCs/tree/main/JavaScript/prototype-pollution/CVE-2025-57353
- https://github.com/messageformat/messageformat/commit/82cd10b40e3f922f990bbcf88a6d14b70c0a3ce0
- https://github.com/messageformat/messageformat/issues/453
- https://github.com/messageformat/messageformat/issues/453#issuecomment-3466959449
- https://github.com/messageformat/messageformat/pull/464