Vulnerabilidad en maker.js de Microsoft (CVE-2026-24888)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/01/2026
Última modificación:
09/02/2026
Descripción
Maker.js es un dibujo de líneas vectoriales 2D y modelado de formas para cortadoras CNC y láser. En versiones hasta la 0.19.1 inclusive, la función 'makerjs.extendObject' copia propiedades de objetos de origen sin una validación adecuada, exponiendo potencialmente las aplicaciones a riesgos de seguridad. La función carece de comprobaciones de 'hasOwnProperty()' y no filtra claves peligrosas, permitiendo que propiedades heredadas y propiedades potencialmente maliciosas sean copiadas a objetos de destino. Un parche está disponible en el commit 85e0f12bd868974b891601a141974f929dec36b8, el cual se espera que sea parte de la versión 0.19.2.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:microsoft:maker.js:*:*:*:*:*:node.js:*:* | 0.19.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/microsoft/maker.js/blob/98cffa82a372ff942194c925a12a311253587167/packages/maker.js/src/core/maker.ts#L232-L241
- https://github.com/microsoft/maker.js/commit/85e0f12bd868974b891601a141974f929dec36b8
- https://github.com/microsoft/maker.js/security/advisories/GHSA-2cp6-34r9-54xx
- https://github.com/microsoft/maker.js/security/advisories/GHSA-2cp6-34r9-54xx