CVE-2025-57354

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-57354
A vulnerability exists in the 'counterpart' library for Node.js and the browser due to insufficient sanitization of user-controlled input in translation key processing. The affected versions prior to 0.18.6 allow attackers to manipulate the library's translation functionality by supplying maliciously crafted keys containing prototype chain elements (e.g., __proto__ ), leading to prototype pollution. This weakness enables adversaries to inject arbitrary properties into the JavaScript Object prototype through the first parameter of the translate method when combined with specific separator configurations, potentially resulting in denial-of-service conditions or remote code execution in vulnerable applications. The issue arises from the library's failure to properly validate or neutralize special characters in translation key inputs before processing.

6.5 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 2.5

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact LOW

Integrity Impact NONE

Availability Impact LOW

Scope UNCHANGED

References
Link Resource
https://github.com/VulnSageAgent/PoCs/tree/main/JavaScript/prototype-pollution/CVE-2025-57354
https://github.com/martinandert/counterpart/issues/54
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) Una vulnerabilidad existe en la biblioteca 'counterpart' para Node.js y el navegador debido a una sanitización insuficiente de la entrada controlada por el usuario en el procesamiento de claves de traducción. Las versiones afectadas anteriores a la 0.18.6 permiten a los atacantes manipular la funcionalidad de traducción de la biblioteca al proporcionar claves maliciosamente elaboradas que contienen elementos de la cadena de prototipos (por ejemplo, __proto__), lo que lleva a la contaminación de prototipos. Esta vulnerabilidad permite a los adversarios inyectar propiedades arbitrarias en el prototipo de objeto de JavaScript a través del primer parámetro del método traducir cuando se combina con configuraciones de separador específicas, lo que podría resultar en condiciones de denegación de servicio o ejecución remota de código en aplicaciones vulnerables. El problema surge del fallo de la librería al no validar o neutralizar correctamente los caracteres especiales en las entradas de claves de traducción antes del procesamiento.

25 Sep 2025, 19:15

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 6.5
CWE CWE-1321

24 Sep 2025, 18:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-09-24 18:15

Updated : 2026-04-15 00:35

NVD link : CVE-2025-57354

Mitre link : CVE-2025-57354

CVE.ORG link : CVE-2025-57354

JSON object : View

Products Affected

No product.

CWE
CWE-1321

Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution')