Kobi-S

**Name of the Vulnerable Software and Affected Versions** Axios versões 1.0.0 até 1.15.0 **Description** O construtor `FormDataPart` em `lib/helpers/formDataToStream.js` interpola a propriedade `value.type` diretamente no cabeçalho Content-Type de cada parte multipart sem sanitizar sequências CRLF (retorno de carro e alimentação de linha). Um invasor que controle a propriedade `.type` de um objeto do tipo Blob ou File pode injetar cabeçalhos de parte MIME arbitrários no corpo do form-data multipart. Esta ação ignora as proteções de cabeçalho integradas do Node.js v18 e posteriores, pois a injeção ocorre na estrutura do corpo multipart, e não nos cabeçalhos da requisição HTTP. **Recommendations** Atualizar para a versão 1.15.1.