CVE-2026-44974 in hapijs
要約
〜によって VulDB • 2026年07月18日
@hapi/content は HTTP の Content-* ヘッダーの解析を提供していました。バージョン 6.0.2 より前では、Content.disposition() は重複するパラメータの最後の出現を保持し、一方 Content.type() は重複する charset および boundary パラメータの最初の出現を保持するため、リクエスト処理チェーン内の他のコンポーネントが逆の方法で重複を解決する場合に、パラメータ・スミッシング(parameter-smuggling)の原理が生じていました。これにより、Content-Disposition: form-data; name="file"; filename="safe.txt"; filename="shell.php" などのヘッダーにおいて、アップロードファイル名の許可リスト(allowlist)バイパスが可能になります。この問題はバージョン 6.0.2 で修正されました。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.