CVE-2026-44974 in hapijs
الملخص
بحسب VulDB • 18/07/2026
@hapi/content يوفر معالجة رؤوس HTTP من نوع Content-*. قبل الإصدار 6.0.2، كانت الدالة `Content.disposition()` تحتفظ بآخر ظهور لكل معلمة مكررة، بينما كانت الدالة `Content.type()` تحتفظ بأول ظهور لمعاملات الترميز (charset) والحدود (boundary) المكررة، مما يخلق آلية لاختراق المعاملات (parameter-smuggling primitive) عندما تقوم مكون آخر في سلسلة معالجة الطلب بحل التعارض بين القيم المكررة بطريقة معاكسة. يمكن أن يسمح هذا بتجاوز قائمة الملفات المسموح بها للرفع عبر رؤوس مثل `Content-Disposition: form-data; name="file"; filename="safe.txt"; filename="shell.php"`. تم إصلاح هذه المشكلة في الإصدار 6.0.2.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.