CVE-2025-8083CVE-2025-8083是Vuetify框架中的一个高危原型污染(Prototype Pollution)漏洞。该漏洞存在于Vuetify的Preset配置功能中,由于内部mergeDeep工具函数在合并选项与默认值时未对用户输入进行充分验证,攻击者可利用特制的恶意Preset对象污染所有JavaScript对象的原型链,添加任意属性。这一漏洞可能对应用程序行为产生广泛负面影响,包括资源耗尽/拒绝服务、未经授权的数据访问等安全问题。如果应用程序使用了服务端渲染(SSR)功能,该漏洞的影响范围可能扩展至整个服务器进程。
漏洞根源在于Vuetify的mergeDeep函数在合并配置对象时未过滤__proto__、constructor和prototype等原型链属性。当应用程序加载外部Preset配置或接受用户提供的配置参数时,攻击者可以通过在配置对象中注入带有这些特殊属性的键值对,实现原型链污染。具体来说,mergeDeep函数会递归合并对象属性,当遇到__proto__属性时会修改Object.prototype,导致后续所有对象实例都继承攻击者定义的恶意属性。这种污染可用于绕过安全检查、修改应用程序逻辑或触发拒绝服务条件。在SSR场景下,服务端全局对象被污染会影响所有请求的处理。