CVE-2026-44974 in hapijsthông tin

Tóm tắt

Bởi VulDB • 18/07/2026

@hapi/content cung cấp khả năng phân tích các tiêu đề HTTP Content-*. Trước phiên bản 6.0.2, hàm `Content.disposition()` giữ lại lần xuất hiện cuối cùng của mỗi tham số trùng lặp, trong khi `Content.type()` giữ lại lần xuất hiện đầu tiên của các tham số charset và boundary bị trùng lặp, tạo ra một cơ chế "smuggling" (lách luật) tham số khi một thành phần khác trong chuỗi xử lý yêu cầu giải quyết các bản sao theo cách ngược lại. Điều này có thể cho phép vượt qua danh sách trắng tên tệp tải lên trong các tiêu đề như `Content-Disposition: form-data; name="file"; filename="safe.txt"; filename="shell.php"`. Vấn đề này đã được sửa chữa trong phiên bản 6.0.2.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

08/05/2026

Tiết lộ

17/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!