← Back
Web Application
CVE-2026-54639 high CVSS 8.8

Style Dictionary, a build system for creating cross-platform styles, has a prototype pollution vulnerability starting in version 4.3.0 and prior to version 5.4.4. Impact users have: direct usage of `c...

Summary

Style Dictionary, a build system for creating cross-platform styles, has a prototype pollution vulnerability starting in version 4.3.0 and prior to version 5.4.4. Impact users have: direct usage of `convertTokenData(tokens, { output: 'object' });`; indirect usage, via using Expand API; and/or indire...

AI summary openai / gpt-4o

Style Dictionaryは、バージョン4.3.0から5.4.4未満にかけて、プロトタイプ汚染の脆弱性があります。特にNodeJSサーバーアプリケーションに統合されている場合には影響が大きいです。修正は5.4.4で公開されましたが、既知の回避策はトークンデータの事前消毒です。
❓ What is the problem
Style Dictionaryのプロトタイプ汚染の脆弱性
📍 Affected scope
バージョン4.3.0から5.4.4未満
🔥 Severity
NodeJSサーバーアプリケーションで高い影響
🔧 How to fix
バージョン5.4.4にアップデートする
🛡️ Workaround
トークンデータを事前に消毒する
🔍 Detection
トークンデータ内の`__proto__`を含むオブジェクトキーを再帰的にチェック

References

🍪 About cookies

We use cookies to keep you logged in, remember your language, and improve the service.

Details →