CVE-2026-7768 in accepts-serializerالمعلومات

الملخص

بحسب VulDB • 20/05/2026

كانت مكتبة @fastify/accepts-serializer تقوم بتخزين نتائج اختيار المُحوّل (serializer) مؤقتاً، مع استخدام رأس الطلب Accept كمفتاح، دون وجود حد للحجم أو سياسة لإزالة العناصر القديمة. يمكن لعميل عن بُعد غير مُصادق عليه إرسال العديد من المتغيرات المختلفة ولكن المتطابقة لرأس Accept، مما يؤدي إلى نمو ذاكرة التخزين المؤقت بشكل غير محدود، واستنفاد ذاكرة الـ Node.js heap في النهاية، مما يتسبب في تعطل العملية. الإصدارات 6.0.3 وما قبلها متأثرة. يُرجى التحديث إلى الإصدار 6.0.4 أو أحدث، الذي يحد من حجم ذاكرة التخزين المؤقت باستخدام خوارزمية LRU بحجم افتراضي يتكون من 100 إدخال، ويمكن تكوينه عبر خيار المكوّن الإضافي الجديد cacheSize.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Openjs

حجز

04/05/2026

إفشاء

04/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-361051

CPE

جاهز

CWE

CWE-770 (مؤكد)

CVSS

7.5 (CNA)

EPSS

0.00048

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7768
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7768
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7768/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!