CVE-2026-24888 (CNNVD-202601-4636)

MEDIUM
中文标题:
Maker.js 安全漏洞
英文标题:
Maker.js Vulnerable to Unsafe Property Copying in makerjs.extendObject
CVSS分数: 6.5
发布时间: 2026-01-28 21:35:44
漏洞类型: 其他
状态: PUBLISHED
数据质量分数: 0.40
数据版本: v3
漏洞描述
中文描述:

Maker.js是Microsoft开源的一个二维矢量线绘制和形状建模工具。 Maker.js 0.19.1及之前版本存在安全漏洞,该漏洞源于makerjs.extendObject函数复制源对象属性时缺乏适当验证,可能允许复制继承的或恶意的属性,从而带来安全风险。

英文描述:

Maker.js is a 2D vector line drawing and shape modeling for CNC and laser cutters. In versions up to and including 0.19.1, the `makerjs.extendObject` function copies properties from source objects without proper validation, potentially exposing applications to security risks. The function lacks `hasOwnProperty()` checks and does not filter dangerous keys, allowing inherited properties and potentially malicious properties to be copied to target objects. A patch is available in commit 85e0f12bd868974b891601a141974f929dec36b8, which is expected to be part of version 0.19.2.

CWE类型:
CWE-1321
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
microsoft maker.js <= 0.19.1 - - cpe:2.3:a:microsoft:maker.js:<=_0.19.1:*:*:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
https://github.com/microsoft/maker.js/security/advisories/GHSA-2cp6-34r9-54xx x_refsource_CONFIRM
cve.org
访问
https://github.com/microsoft/maker.js/commit/85e0f12bd868974b891601a141974f929dec36b8 x_refsource_MISC
cve.org
访问
https://github.com/microsoft/maker.js/blob/98cffa82a372ff942194c925a12a311253587167/packages/maker.js/src/core/maker.ts#L232-L241 x_refsource_MISC
cve.org
访问
CVSS评分详情
3.1 (cna)
MEDIUM
6.5
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
机密性
LOW
完整性
LOW
可用性
NONE
时间信息
发布时间:
2026-01-28 21:35:44
修改时间:
2026-01-28 21:35:44
创建时间:
2026-01-29 06:00:13
更新时间:
2026-02-05 06:00:54
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2026-24888 2026-01-29 03:20:03 2026-01-28 22:00:13
NVD nvd_CVE-2026-24888 2026-01-29 02:00:05 2026-01-28 22:00:18
CNNVD cnnvd_CNNVD-202601-4636 2026-02-05 03:10:41 2026-02-04 22:00:54
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2026-02-05 06:00:54
vulnerability_type: 未提取 → 其他; cnnvd_id: 未提取 → CNNVD-202601-4636; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 其他
  • cnnvd_id: 未提取 -> CNNVD-202601-4636
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2026-01-29 06:00:18
data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • data_sources: ['cve'] -> ['cve', 'nvd']