http://blog.p6.is/Real-World-JS-1/ posix님이 발견하신 CVE-2020-7699 취약점이 너무나 흥미로워 보였고, 유익한 내용이기에 적어본다. 실습 환경은 express-fileupload@1.1.6 버전을 사용해야한다. 우선, prototype pollution 에 대해 간단하게 표현해보자면, 아래와 같다. var a = {} var b = {} b.__proto__.pollution = '1' console.log(a.pollution) // '1' 자칫 신경 안써도 될 것 같아 보이지만, express-fileupload@1.1.6 에서 parseNested option이 설정돼있으면 아래와 같은 내부 동작이 이루어진다. // node_modules\express-fi..