CVE-2026-44974 in hapijsinfo

Zusammenfassung

von VulDB • 17.07.2026

@hapi/content bietet die Parsing-Funktion für HTTP-Content-* Header. Vor Version 6.0.2 behielt Content.disposition() das letzte Vorkommen jedes duplizierten Parameters bei, während Content.type() das erste Vorkommen von duplizierten charset- und boundary-Parametern beibehielt, was eine Parameter-Smuggling-Funktion erzeugte, wenn eine andere Komponente in der Request-Verarbeitungskette Duplikate auf die entgegengesetzte Weise auflöst. Dies kann einen Umgehung des Uploads von Dateinamen-Ausnahmelisten (Allowlist) in Headern wie Content-Disposition: form-data; name="file"; filename="safe.txt"; filename="shell.php" ermöglichen. Dieses Problem wurde in Version 6.0.2 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub M

Reservieren

08.05.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379955

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!