Node.js: A proteção contra divisão de solicitação HTTP funciona apenas pela metade

Pesquisa de Martino Spagnuolo mostra uma limitação na correção para CVE-2018-12116 (HTTP Request Splitting). O Node.js valida o caminho da solicitação HTTP para caracteres CRLF apenas uma vez — quando o objeto de solicitação é criado. No entanto, algumas bibliotecas permitem que o caminho da solicitação seja modificado posteriormente através de hooks ou middleware da biblioteca, e essa alteração não é revalidada.

Como resultado, um atacante pode introduzir sequências CRLF após a verificação inicial, potencialmente levando à divisão de solicitação HTTP. Os mantenedores do Node.js não classificam esse comportamento como uma vulnerabilidade, mas o artigo fornece uma análise detalhada e exploração de prova de conceito.

Bibliotecas vulneráveis: node-http-proxy, http-proxy-middleware, http-proxy-3 (Vite), httpxy (Nitro/Nuxt), superagent, request, @hapi/wreck

📎 Artigo: https://r3verii.github.io/cve/2026/02/27/nodejs-toctou.html

💬 Discutir