Ljharb

**Nome do Software Vulnerável e Versões Afetadas** form-data versões anteriores a 2.5.6 form-data versões anteriores a 3.0.5 form-data versões anteriores a 4.0.6 **Description** O argumento `field` em `FormData#append` e a opção `filename` são concatenados literalmente no cabeçalho `Content-Disposition` sem a neutralização de caracteres de retorno de carro (CR), alimentação de linha (LF) ou aspas duplas ("). Isso permite que um invasor realize a injeção de CRLF (Carriage Return Line Feed), que é o processo de inserir caracteres especiais para manipular a estrutura de um cabeçalho HTTP. Se uma aplicação utilizar entradas não confiáveis como nome de campo ou nome de arquivo, um invasor poderá encerrar a linha do cabeçalho para injetar cabeçalhos adicionais ou contrabandear partes multipart inteiras na requisição encaminhada para um backend. Isso pode permitir que o invasor adicione ou substitua campos de formulário, como definir `is admin=true`, conforme visualizado pelo analisador downstream. **Recommendations** Atualizar para a versão 2.5.6. Atualizar para a versão 3.0.5. Atualizar para a versão 4.0.6.