CVE-2026-44974 in hapijs情報

要約

〜によって VulDB • 2026年07月18日

@hapi/content は HTTP の Content-* ヘッダーの解析を提供していました。バージョン 6.0.2 より前では、Content.disposition() は重複するパラメータの最後の出現を保持し、一方 Content.type() は重複する charset および boundary パラメータの最初の出現を保持するため、リクエスト処理チェーン内の他のコンポーネントが逆の方法で重複を解決する場合に、パラメータ・スミッシング(parameter-smuggling)の原理が生じていました。これにより、Content-Disposition: form-data; name="file"; filename="safe.txt"; filename="shell.php" などのヘッダーにおいて、アップロードファイル名の許可リスト(allowlist)バイパスが可能になります。この問題はバージョン 6.0.2 で修正されました。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2026年05月08日

モデレーション

承諾済み

エントリ

VDB-379955

EPSS

0.00000

アクティビティ

低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!