## js-yaml 4.1.0 爆出原型污染漏洞 (CVE-2025-64718)，可篡改解析结果原型链
js-yaml 库爆出高危安全漏洞，允许攻击者通过解析恶意 YAML 文档进行原型污染（Prototype Pollution），直接影响所有解析不可信 YAML 数据的应用。该漏洞被追踪为 CVE-2025-64718，影响范围包括 js-yaml 4.1.0、4.0.0 及 3.14.1 及以下的所有版本。攻击者可利用 `__proto__` 等属性，篡改解析后 JavaScript 对象的原型链，可能导致远程代码执行、权限提升或应用程序逻辑被破坏等严重后果。

漏洞核心在于库的 YAML 解析器未能正确处理可能污染原型的特殊属性。这意味着任何使用受影响版本 js-yaml 来处理用户输入、配置文件或外部数据的 Node.js 或 Deno 服务器端应用，均面临潜在风险。依赖该库进行配置加载、数据序列化或 CI/CD 管道中 YAML 处理的开发团队需立即评估其暴露面。GitHub 的依赖机器人 Renovate 已发布更新 PR，将依赖从 4.1.0 升级至已修复的 4.1.1 版本。

官方补丁已发布在 js-yaml 4.1.1 和 3.14.2 版本中。对于无法立即升级的系统，可采取临时缓解措施：在 Node.js 服务器启动时使用 `node --disable-proto=delete` 参数，或使用 Deno 运行时（其默认启用了原型污染防护）。开发人员应参考 OWASP 原型污染防护指南，审查所有 YAML 解析入口点，确保不对不可信来源的 YAML 数据使用默认的 `load()` 或 `safeLoad()` 方法。此漏洞再次凸显了供应链安全中基础依赖库的潜在风险，安全团队需优先扫描并修复此漏洞。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: CVE-2025-64718, 原型污染, 供应链安全, Node.js, YAML解析
- **Credibility**: unverified
- **Published**: 2026-04-12 22:22:37
- **ID**: 60865
- **URL**: https://whisperx.ai/en/intel/60865