CVE-2026-44974 in hapijs
Zusammenfassung
von VulDB • 17.07.2026
@hapi/content bietet die Parsing-Funktion für HTTP-Content-* Header. Vor Version 6.0.2 behielt Content.disposition() das letzte Vorkommen jedes duplizierten Parameters bei, während Content.type() das erste Vorkommen von duplizierten charset- und boundary-Parametern beibehielt, was eine Parameter-Smuggling-Funktion erzeugte, wenn eine andere Komponente in der Request-Verarbeitungskette Duplikate auf die entgegengesetzte Weise auflöst. Dies kann einen Umgehung des Uploads von Dateinamen-Ausnahmelisten (Allowlist) in Headern wie Content-Disposition: form-data; name="file"; filename="safe.txt"; filename="shell.php" ermöglichen. Dieses Problem wurde in Version 6.0.2 behoben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.