CVE-2026-44974 in hapijsالمعلومات

الملخص

بحسب VulDB • 18/07/2026

@hapi/content يوفر معالجة رؤوس HTTP من نوع Content-*. قبل الإصدار 6.0.2، كانت الدالة `Content.disposition()` تحتفظ بآخر ظهور لكل معلمة مكررة، بينما كانت الدالة `Content.type()` تحتفظ بأول ظهور لمعاملات الترميز (charset) والحدود (boundary) المكررة، مما يخلق آلية لاختراق المعاملات (parameter-smuggling primitive) عندما تقوم مكون آخر في سلسلة معالجة الطلب بحل التعارض بين القيم المكررة بطريقة معاكسة. يمكن أن يسمح هذا بتجاوز قائمة الملفات المسموح بها للرفع عبر رؤوس مثل `Content-Disposition: form-data; name="file"; filename="safe.txt"; filename="shell.php"`. تم إصلاح هذه المشكلة في الإصدار 6.0.2.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

08/05/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379955

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Want to know what is going to be exploited?

We predict KEV entries!