Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CVE-2026-4800

PUBLISHED 01.07.2026

CNA: openjs

lodash vulnerable to Code Injection via `_.template` imports key names

Обновлено: 31.03.2026
Impact: The fix for CVE-2021-23337 (https://github.com/advisories/GHSA-35jh-r3h4-6jhm) added validation for the variable option in _.template but did not apply the same validation to options.imports key names. Both paths flow into the same Function() constructor sink. When an application passes untrusted input as options.imports key names, an attacker can inject default-parameter expressions that execute arbitrary code at template compilation time. Additionally, _.template uses assignInWith to merge imports, which enumerates inherited properties via for..in. If Object.prototype has been polluted by any other vector, the polluted keys are copied into the imports object and passed to Function(). Patches: Users should upgrade to version 4.18.0. Workarounds: Do not pass untrusted input as key names in options.imports. Only use developer-controlled, static key names.

CWE

Идентификатор Описание
CWE-94 The product constructs all or part of a code segment using externally-influenced input from an upstream component, but it does not neutralize or incorrectly neutralizes special elements that could modify the syntax or behavior of the intended code segment.

CVSS

Оценка Severity Версия Базовый вектор
8.1 HIGH 3.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

EPSS

Вероятность Severity Процентиль ? Дата расчёта
0.04% LOW 13.79 23.05.2026

Доп. Информация

Product Status

lodash
Product: lodash
Vendor: lodash
Default status: unaffected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 4.0.0 до 4.18.0 affected
Наблюдалось в версии 4.18.0 unaffected
lodash-es
Product: lodash-es
Vendor: lodash
Default status: unaffected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 4.0.0 до 4.18.0 affected
Наблюдалось в версии 4.18.0 unaffected
lodash-amd
Product: lodash-amd
Vendor: lodash
Default status: unaffected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 4.0.0 до 4.18.0 affected
Наблюдалось в версии 4.18.0 unaffected
lodash.template
Product: lodash.template
Vendor: lodash
Default status: unaffected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 4.0.0 до 4.18.0 affected
Наблюдалось в версии 4.18.0 unaffected
 

Ссылки

CISA ADP Vulnrichment

Обновлено: 31.03.2026
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none no total 2.0.3 31.03.2026

lodash: lodash: Arbitrary code execution via untrusted input in template imports

Обновлено: 01.07.2026

CVSS

Оценка Severity Версия Базовый вектор
8.1 HIGH 3.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

https://access.redhat.com/security/cve/CVE-2026-4800
https://bugzilla.redhat.com/show_bug.cgi?id=2453496
https://security.access.redhat.com/data/csaf/v2/vex/2026/cve-2026-4800.json
https://access.redhat.com/errata/RHSA-2026:24762
https://access.redhat.com/errata/RHSA-2026:17789
https://access.redhat.com/errata/RHSA-2026:24331
https://access.redhat.com/errata/RHSA-2026:11470
https://access.redhat.com/errata/RHSA-2026:10713
https://access.redhat.com/errata/RHSA-2026:19008
https://access.redhat.com/errata/RHSA-2026:11493
https://access.redhat.com/errata/RHSA-2026:11494
https://access.redhat.com/errata/RHSA-2026:11495
https://access.redhat.com/errata/RHSA-2026:11454
https://access.redhat.com/errata/RHSA-2026:11469
https://access.redhat.com/errata/RHSA-2026:11516
https://access.redhat.com/errata/RHSA-2026:11471
https://access.redhat.com/errata/RHSA-2026:10710
https://access.redhat.com/errata/RHSA-2026:19167
https://access.redhat.com/errata/RHSA-2026:19409
https://access.redhat.com/errata/RHSA-2026:19410
https://access.redhat.com/errata/RHSA-2026:16874
https://access.redhat.com/errata/RHSA-2026:13553
https://access.redhat.com/errata/RHSA-2026:13545
https://access.redhat.com/errata/RHSA-2026:22619
https://access.redhat.com/errata/RHSA-2026:9742
https://access.redhat.com/errata/RHSA-2026:13826
https://access.redhat.com/errata/RHSA-2026:24977
https://access.redhat.com/errata/RHSA-2026:19712
https://access.redhat.com/errata/RHSA-2026:17598
https://access.redhat.com/errata/RHSA-2026:21658
https://access.redhat.com/errata/RHSA-2026:17448
https://access.redhat.com/errata/RHSA-2026:20042
https://access.redhat.com/errata/RHSA-2026:20041
https://access.redhat.com/errata/RHSA-2026:17469
https://access.redhat.com/errata/RHSA-2026:17468
https://access.redhat.com/errata/RHSA-2026:29795
https://access.redhat.com/errata/RHSA-2026:10175
https://access.redhat.com/errata/RHSA-2026:20946
https://access.redhat.com/errata/RHSA-2026:20943
https://access.redhat.com/errata/RHSA-2026:8483
https://access.redhat.com/errata/RHSA-2026:8484
https://access.redhat.com/errata/RHSA-2026:8490
https://access.redhat.com/errata/RHSA-2026:8491
https://access.redhat.com/errata/RHSA-2026:8493
https://access.redhat.com/errata/RHSA-2026:9385
https://access.redhat.com/errata/RHSA-2026:17549
https://access.redhat.com/errata/RHSA-2026:17550
https://access.redhat.com/errata/RHSA-2026:17547
https://access.redhat.com/errata/RHSA-2026:12279
https://access.redhat.com/errata/RHSA-2026:12277
https://access.redhat.com/errata/RHSA-2026:14870
https://access.redhat.com/errata/RHSA-2026:14871
https://access.redhat.com/errata/RHSA-2026:8498
https://access.redhat.com/errata/RHSA-2026:10131
https://access.redhat.com/errata/RHSA-2026:13571

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.