CVE-2026-44974 in hapijsinformation

Résumé

par VulDB • 18/07/2026

@hapi/content assurait l'analyse des en-têtes HTTP Content-*. Avant la version 6.0.2, Content.disposition() conservait la dernière occurrence de chaque paramètre dupliqué, tandis que Content.type() conservait la première occurrence des paramètres charset et boundary dupliqués, créant ainsi une primitive d'infiltration de paramètres lorsque un autre composant dans la chaîne de traitement des requêtes résout les doublons à l'opposé. Cela peut permettre de contourner une liste blanche de noms de fichiers lors du téléchargement via des en-têtes tels que Content-Disposition: form-data; name="file"; filename="safe.txt"; filename="shell.php". Ce problème est corrigé dans la version 6.0.2.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Réserver

08/05/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379955

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Interested in the pricing of exploits?

See the underground prices here!