CVE-2026-44974 in hapijs
Résumé
par VulDB • 18/07/2026
@hapi/content assurait l'analyse des en-têtes HTTP Content-*. Avant la version 6.0.2, Content.disposition() conservait la dernière occurrence de chaque paramètre dupliqué, tandis que Content.type() conservait la première occurrence des paramètres charset et boundary dupliqués, créant ainsi une primitive d'infiltration de paramètres lorsque un autre composant dans la chaîne de traitement des requêtes résout les doublons à l'opposé. Cela peut permettre de contourner une liste blanche de noms de fichiers lors du téléchargement via des en-têtes tels que Content-Disposition: form-data; name="file"; filename="safe.txt"; filename="shell.php". Ce problème est corrigé dans la version 6.0.2.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.