CVE-2026-24006
🟡 Monitoruj
Przepełnienie stosu w Seroval umożliwia zdalne wykonanie kodu przez głęboką serializację obiektów.
CVSS
7.5
EPSS
0.0%
Exploit
none
Vendor
lxsmnsyc
Opis źródłowy (NVD)
Seroval facilitates JS value stringification, including complex structures beyond JSON.stringify capabilities. In versions 1.4.0 and below, serialization of objects with extreme depth can exceed the maximum call stack limit. In version 1.4.1, Seroval introduces a `depthLimit` parameter in serialization/deserialization methods. An error will be thrown if the depth limit is reached.
deserialization
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 7.5 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-01-22 03:15:47 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-06 13:51:37 UTC |
Referencje
- https://github.com/lxsmnsyc/seroval/commit/ce9408ebc87312fcad345a73c172212f2a798060 (security-advisories@github.com) [Patch]
- https://github.com/lxsmnsyc/seroval/security/advisories/GHSA-3j22-8qj3-26mx (security-advisories@github.com) [Mitigation, Vendor Advisory]