A vulnerability was determined in 1024bit extend-deep up to 0.1.6. The impacted element is an unknown function of the file index.js. This manipulation of the argument __proto__ causes improperly controlled modification of object prototype attributes. Remote exploitation of the attack is possible. The exploit has been publicly disclosed and may be utilized. The code repository of the project has not been active for many years.
CVE-2026-6621 is a prototype pollution vulnerability in the extend-deep npm package (versions up to 0.1.6) that allows remote attackers to modify object prototype attributes through the __proto__ argument. The vulnerability has public exploits available and affects unmaintained code, posing significant risks to applications using this dependency.
تم اكتشاف ثغرة تلوث النموذج الأولي في حزمة extend-deep حتى الإصدار 0.1.6، حيث يمكن للمهاجمين التلاعب بحجة __proto__ لتعديل خصائص النموذج الأولي للكائن. المستودع الخاص بالمشروع لم يكن نشطاً لسنوات عديدة، مما يعني عدم توفر تصحيحات أمنية رسمية.
هذا الثغرة عبارة عن تلوث النموذج الأولي في حزمة extend-deep التي تسمح للمهاجمين بتعديل خصائص النموذج الأولي للكائن عن بعد. تتأثر التطبيقات التي تستخدم هذه الحزمة غير المحدثة بمخاطر أمنية عالية.
Immediately upgrade extend-deep to a patched version or replace with an actively maintained alternative library. If upgrade is not possible, implement input validation to sanitize __proto__ and constructor properties before passing to extend-deep functions. Conduct a comprehensive audit of all dependencies using extend-deep and remove it if unused.
قم بترقية حزمة extend-deep إلى نسخة مصححة فوراً أو استبدلها بمكتبة بديلة مدعومة. إذا لم تكن الترقية ممكنة، قم بتطبيق التحقق من المدخلات لتنظيف خصائص __proto__ و constructor. قم بإجراء تدقيق شامل لجميع الحزم التابعة التي تستخدم extend-deep.