CVE-2026-42047 in inngest-jsالمعلومات

الملخص

بحسب VulDB • 27/05/2026

Inngest هي منصة لتشغيل الوظائف الخلفية التي تعمل بناءً على الأحداث والمجدولة، مع دعم الطابور (queueing)، وإعادة المحاولة، وتنسيق الخطوات. تحتوي الإصدارات من 3.22.0 حتى 3.53.1 على ثغرة تسمح لمهاجمين عن بُعد غير مُصادَق عليهم باستخراج متغيرات البيئة من عملية المضيف عبر معالج HTTP المسمى serve(). يطبق معالج serve() طرق GET وPOST وPUT. أما الطلبات التي تستخدم طرق PATCH أو OPTIONS أو DELETE فتسقط إلى معالج عام يعيد معلومات تشخيصية. تسبب تغيير أُدخل في الإصدار v3.22.0 في تضمين استجابة التشخيص هذه محتويات process.env، مما يعرّض أي أسرار أو مفاتيح API أو بيانات اعتماد موجودة في البيئة للخطر. تكون التطبيق عرضة للثغرة إذا كان نقطة نهاية serve() الخاصة به قابلة للوصول عبر طلبات PATCH أو OPTIONS أو DELETE، وهو أمر شائع في إعدادات مثل Next.js Pages Router أو استخدام Express's app.use(...). لا تتأثر معالجات Next.js App Router التي تُصدّر فقط طرق GET وPOST وPUT، والتطبيقات التي تستخدم طريقة worker الخاصة بـ connect. تم إصلاح هذه المشكلة في الإصدار 3.54.0. للتغلب على هذه المشكلة إذا لم يكن الترقية ممكنة على الفور، قيّد نقطة نهاية serve() على مستوى الإطار البرمجي أو الوكيل العكسي لقبول طرق GET وPOST وPUT فقط. لا تتطلب نقطة نهاية serve() الخاصة بـ Inngest أي طرق HTTP أخرى.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

23/04/2026

إفشاء

08/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-361980

CPE

جاهز

CWE

CWE-200 (مؤكد)

CVSS

8.6 (CNA)

EPSS

0.00048

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42047
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42047
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42047/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!