## CVE-2025-13465: lodash-es 4.17.21 存在原型污染漏洞，可删除全局原型方法
在 `closenow.ai` 项目的 `close-now-angular` 前端代码中，一个关键的安全扫描器发现了一个中等严重性的漏洞。项目依赖的 `lodash-es` 库版本 4.17.21 存在一个已公开的原型污染漏洞（CVE-2025-13465）。该漏洞允许攻击者通过精心构造的路径参数，利用 `_.unset` 和 `_.omit` 函数，从全局原型（如 `Object.prototype`）中删除属性或方法。虽然此漏洞不允许攻击者覆盖或篡改这些方法的原始行为，但删除关键的原型方法仍可能破坏应用程序的稳定性或导致意外行为。

该漏洞影响 `lodash` 和 `lodash-es` 库的 4.0.0 至 4.17.22 版本。安全扫描由 `trivy-fs` 工具在针对 `package-lock.json` 文件的深度依赖扫描中触发。证据明确指出，问题包 `lodash-es@4.17.21` 的修复版本为 4.17.23。原型污染是一类常见的安全缺陷（CWE-1321），攻击者可能利用它来干扰应用程序的逻辑，或作为更复杂攻击链的初始步骤。

对于依赖 `lodash` 的现代 Web 应用和 Node.js 后端服务而言，这是一个需要立即评估的潜在风险。尽管被标记为“中等”严重性，且主要影响在于“删除”而非“覆盖”，但原型污染的引入本身就是一个危险信号。开发团队必须尽快将依赖升级至已修复的 4.17.23 或更高版本，以消除此攻击面。在未修复的情况下，任何接受用户输入并传递给受影响 `lodash` 函数的功能点，都可能成为潜在的利用入口。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: CVE-2025-13465, 原型污染, 前端安全, npm安全, 依赖漏洞
- **Credibility**: unverified
- **Published**: 2026-04-08 00:26:56
- **ID**: 54008
- **URL**: https://whisperx.ai/en/intel/54008