CVE-2025-57352

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-57352
A vulnerability exists in the 'min-document' package prior to version 2.19.0, stemming from improper handling of namespace operations in the removeAttributeNS method. By processing malicious input involving the __proto__ property, an attacker can manipulate the prototype chain of JavaScript objects, leading to denial of service or arbitrary code execution. This issue arises from insufficient validation of attribute namespace removal operations, allowing unintended modification of critical object prototypes. The vulnerability remains unaddressed in the latest available version.

5.3 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact LOW

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://github.com/Raynos/min-document/issues/54
https://github.com/VulnSageAgent/PoCs/tree/main/JavaScript/prototype-pollution/CVE-2025-57352
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) Existe una vulnerabilidad en el paquete 'min-document' anterior a la versión 2.19.0, que se origina en el manejo inadecuado de operaciones de espacio de nombres en el método removeAttributeNS. Al procesar una entrada maliciosa que involucra la propiedad __proto__, un atacante puede manipular la cadena de prototipos de objetos JavaScript, lo que lleva a una denegación de servicio o ejecución de código arbitrario. Este problema surge de una validación insuficiente de las operaciones de eliminación de espacios de nombres de atributos, lo que permite la modificación no intencionada de prototipos de objetos críticos. La vulnerabilidad permanece sin abordar en la última versión disponible.

25 Sep 2025, 19:15

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 5.3
CWE CWE-1321

24 Sep 2025, 18:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-09-24 18:15

Updated : 2026-04-15 00:35

NVD link : CVE-2025-57352

Mitre link : CVE-2025-57352

CVE.ORG link : CVE-2025-57352

JSON object : View

Products Affected

No product.

CWE
CWE-1321

Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution')