Mcollina

**Nome do Software Vulnerável e Versões Afetadas** undici versão 8.1.0 **Description** O cliente WebSocket do undici impõe o `maxPayloadSize` por quadro, mas não impõe o tamanho cumulativo de mensagens fragmentadas não compactadas. Um servidor WebSocket malicioso pode transmitir diversos fragmentos pequenos que passam individualmente na validação, mas que coletivamente excedem o limite configurado. Isso leva ao crescimento ilimitado da memória no processo do cliente, resultando em exaustão de memória e negação de serviço. Este problema afeta aplicações que utilizam o cliente `new WebSocket(...)` e que se conectam a endpoints comprometidos ou controlados por atacantes. **Recommendations** Atualize para as versões do undici 8.5.0 ou posteriores.

**Nome do Software Vulnerável e Versões Afetadas** undici versões 6.x anteriores a 6.26.0 undici versões 7.0.0 até 7.27.x undici versões 8.x anteriores a 8.5.0 **Description** O analisador de cookies na função `parseSetCookie` realiza a decodificação de percentagem (percent-decode) de valores de cookies via `qsUnescape`, convertendo sequências codificadas como %0D%0A, %00, %3B e %3D em seus equivalentes de bytes literais. Este comportamento diverge da RFC 6265 §5.4 e dos padrões de navegadores, que não especificam tal decodificação. Aplicações que utilizam `parseSetCookie`, `parseCookie` ou `getSetCookies` e, posteriormente, encaminham esses valores analisados para cabeçalhos de resposta (como proxies, middlewares ou frameworks SSR) estão suscetíveis à injeção de cabeçalho de resposta HTTP. Isso permite que uma fonte upstream controlada por um invasor injete cabeçalhos Set-Cookie, Location ou Cache-Control arbitrários na resposta downstream da aplicação, possibilitando a fixação de sessão, redirecionamento aberto ou envenenamento de cache. **Recommendations** Atualize para a versão 6.26.0 para versões no ramo 6.x. Atualize para a versão 7.28.0 para versões no ramo 7.x. Atualize para a versão 8.5.0 para versões no ramo 8.x. Como alternativa temporária, sanitize os valores retornados por `parseSetCookie()`, `parseCookie()` ou `getSetCookies()` para remover ou rejeitar bytes CR, LF, NUL, ; e = antes de encaminhá-los para os cabeçalhos de resposta.

**Nome do Software Vulnerável e Versões Afetadas** undici versões anteriores a 7.28.0 undici versões anteriores a 8.5.0 **Descrição** O interceptor de cache classifica incorretamente certas respostas como cacheáveis quando o cabeçalho Cache-Control upstream contém nomes de campos privados qualificados ou no-cache com preenchimento de espaços em branco, como `private=" authorization"` ou `no-cache="tauthorization"`. Como o analisador preserva esses espaços em branco, as comparações com o nome de campo literal `authorization` falham, fazendo com que a resposta seja armazenada. No modo de cache compartilhado, isso pode levar à divulgação de informações entre usuários, onde uma resposta contendo dados autenticados de um usuário é servida do cache para um chamador subsequente, incluindo usuários não autenticados, caso ambas as solicitações compartilhem a mesma chave de cache. **Recomendações** Atualize para a versão 7.28.0. Atualize para a versão 8.5.0. Desative o modo de cache compartilhado para o tráfego que inclui cabeçalhos de Autorização. Evite o cache de respostas para solicitações autenticadas. Adicione `Vary: Authorization` no upstream.

**Nome do Software Vulnerável e Versões Afetadas** undici versões 7.23.0 até 8.1.0 **Descrição** Ao usar o `Socks5ProxyAgent`, o software reutiliza um único pool de conexões entre diferentes origens sem verificar se a origem do pool corresponde à origem solicitada. Isso leva ao roteamento de solicitações cross-origin, onde todas as solicitações são despachadas através do pool conectado à primeira origem, independentemente do destino pretendido. Consequentemente, credenciais e dados de solicitação destinados a uma origem são enviados para outra, respostas de origens incorretas são confiadas e solicitações HTTPS podem ser silenciosamente rebaixadas para HTTP. **Recomendações** Para as versões 7.23.0 até 7.25.x, atualize para a versão 7.26.0. Para as versões 8.0.0 até 8.1.0, atualize para a versão 8.2.0. Use uma instância separada de `Socks5ProxyAgent` por origem. Evite usar o `Socks5ProxyAgent` com múltiplas origens.

**Nome do Software Vulnerável e Versões Afetadas** undici versões anteriores a 6.26.0 undici versões anteriores a 7.28.0 undici versões anteriores a 8.5.0 **Description** O cliente HTTP/1.1 está sujeito a envenenamento de fila de resposta (response queue poisoning) quando sockets keep-alive são reutilizados. Um servidor upstream controlado por um invasor pode injetar uma resposta HTTP/1.1 não solicitada em um socket ocioso após a conclusão de uma requisição. Consequentemente, quando o cliente envia uma requisição subsequente usando esse mesmo socket, ele associa incorretamente a resposta injetada à nova requisição, fazendo com que as respostas sejam entregues às requisições erradas. Este problema requer um servidor HTTP/1.1 upstream comprometido ou controlado por um invasor e o uso de reutilização de conexão keep-alive. **Recommendations** Atualize para a versão 6.26.0. Atualize para a versão 7.28.0. Atualize para a versão 8.5.0. Como alternativa temporária, desative a reutilização de conexão keep-alive definindo a variável `keepAliveTimeout` como 0 no Client ou Pool.

**Nome do Software Vulnerável e Versões Afetadas** undici versões 5.15.0 até 6.25.x undici versões 7.0.0 até 7.27.x undici versões 8.0.0 até 8.4.x **Description** Ao analisar um cabeçalho Set-Cookie, o software aceita qualquer valor de atributo SameSite que contenha Strict, Lax ou None como uma substring, em vez de exigir uma correspondência exata insensível a maiúsculas e minúsculas, conforme especificado pela RFC 6265. Isso permite que valores fora da especificação sejam mapeados silenciosamente para tokens padrão; por exemplo, SameSite=NoneOfYourBusiness é analisado como None, e SameSite=StrictLax é analisado como Lax. Aplicativos que consomem cabeçalhos Set-Cookie via caminhos de código fetch ou proxy e dependem do atributo `sameSite` analisado podem ser coagidos por um servidor malicioso ou não compatível a aplicar uma política SameSite mais fraca, degradando a aplicação pretendida do cookie. **Recommendations** Atualize para a versão 6.26.0. Atualize para a versão 7.28.0. Atualize para a versão 8.5.0. Como alternativa temporária, valide se o atributo `sameSite` resultante é exatamente 'Strict', 'Lax' ou 'None' (insensível a maiúsculas e minúsculas) após analisar um cabeçalho Set-Cookie e antes de confiar nele.

**Name of the Vulnerable Software and Affected Versions** @fastify/static versões 8.0.0 até 9.1.0 **Description** Ocorre traversal de caminho quando a listagem de diretórios está habilitada através da opção `list`. A função `dirList.path()` resolve diretórios fora da raiz estática configurada usando `path.join()` sem uma verificação de contenção. Um atacante remoto não autenticado pode obter listagens de diretórios para diretórios arbitrários acessíveis ao processo Node.js, expondo nomes de diretórios e arquivos, embora o conteúdo dos arquivos não seja revelado. **Recommendations** Atualize para a versão 9.1.1. Como alternativa temporária, desabilite a listagem de diretórios removendo a opção `list` da configuração do plugin.

**Name of the Vulnerable Software and Affected Versions** @fastify/middie versões anteriores a 9.3.2 **Description** Existe um bypass de middleware quando a opção obsoleta `ignoreDuplicateSlashes` está habilitada. A lógica de correspondência de caminho do middleware não considera a normalização de barras duplicadas realizada pelo roteador, permitindo que requisições com barras iniciais duplicadas (ex: '//admin/secret') ignorem verificações de autenticação e autorização. Este problema afeta especificamente aplicações que utilizam o estilo de configuração de nível superior obsoleto `fastify({ ignoreDuplicateSlashes: true })` em vez da configuração `routerOptions`. **Recommendations** Atualize para a versão 9.3.2 do @fastify/middie. Como alternativa temporária, migre a configuração obsoleta de nível superior `ignoreDuplicateSlashes: true` para `routerOptions: { ignoreDuplicateSlashes: true }` ou desabilite a opção `ignoreDuplicateSlashes`.

**Name of the Vulnerable Software and Affected Versions** @fastify/static versões 8.0.0 até 9.1.0 **Description** O @fastify/static decodifica separadores de caminho codificados em percentual ('%2F') antes da resolução do sistema de arquivos, enquanto o roteador do Fastify os trata como caracteres literais. Essa discrepância permite uma incompatibilidade de roteamento onde guards de rota ou middlewares que protegem caminhos específicos podem ser ignorados. Por exemplo, um guard protegendo '/admin/*' não corresponderá a uma solicitação para '/admin%2Fsecret.html', mas o software decodificará a solicitação e servirá o arquivo de '/admin/secret.html'. **Recommendations** Atualize para a versão 9.1.1 do @fastify/static.

**Name of the Vulnerable Software and Affected Versions** fastify versões 5.3.2 até 5.8.4 **Description** Aplicações que utilizam `schema.body.content` para validação de corpo por tipo de conteúdo estão sujeitas a um bypass de validação. Ao prefixar um espaço ao cabeçalho Content-Type, o corpo ainda é analisado corretamente, mas a validação do esquema é totalmente ignorada. **Recommendations** Atualize para a versão 5.8.5 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** @fastify/reply-from versões anteriores a 12.6.2 @fastify/http-proxy versões anteriores a 11.4.4 **Description** Uma falha de lógica no pipeline de processamento de cabeçalhos do framework Fastify para Node.js permite que atacantes remotos não autenticados ignorem controles de segurança. O problema ocorre porque a função `rewriteRequestHeaders()` processa o cabeçalho `Connection` do cliente após o proxy ter adicionado seus próprios cabeçalhos. Isso permite que um invasor remova retroativamente cabeçalhos adicionados pelo proxy para fins de roteamento, controle de acesso ou segurança, listando-os no valor do cabeçalho `Connection`. Isso pode levar à modificação não autorizada de informações protegidas ou à evasão de mecanismos de identificação e autorização do proxy. **Recommendations** Atualize o @fastify/reply-from para a versão 12.6.2 ou posterior. Atualize o @fastify/http-proxy para a versão 11.4.4 ou posterior.

**Name of the Vulnerable Software and Affected Versions** @fastify/express versões anteriores a 4.0.5 **Description** Existe um problema onde o software falha ao normalizar URLs antes de passá-las para o middleware do Express quando as opções de normalização do roteador Fastify estão habilitadas. Isso permite que um invasor não autenticado ignore o middleware de autenticação com escopo de caminho manipulando o caminho da URL. Especificamente, a evasão ocorre por meio de barras duplicadas quando `ignoreDuplicateSlashes` está habilitado, ou por meio de delimitadores de ponto e vírgula quando `useSemicolonDelimiter` está habilitado. Nesses cenários, o roteador Fastify normaliza a URL para corresponder à rota, mas a URL original não normalizada é passada para o middleware do Express, fazendo com que ele não corresponda e seja ignorado. **Recommendations** Atualize para @fastify/express v4.0.5 ou posterior.

**Name of the Vulnerable Software and Affected Versions** @fastify/express versões anteriores a 4.0.5 **Description** Um erro de manipulação de caminho na função `onRegister()` faz com que os caminhos do middleware sejam duplicados quando herdados por plugins filhos. Quando um plugin filho é registrado com um prefixo que corresponde a um caminho de middleware, o caminho é prefixado uma segunda vez, impedindo que ele corresponda às requisições recebidas. Isso resulta em um bypass completo dos controles de segurança do middleware Express, incluindo autenticação, autorização e limitação de taxa, para todas as rotas definidas nos escopos dos plugins filhos afetados. **Recommendations** Atualize para a versão 4.0.5 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Fastify versions prior to 5.7.3 **Description** Fastify is a web framework for Node.js. A denial-of-service condition exists in Fastify’s Web Streams response handling. A slow or non-reading client can cause unbounded buffering when backpressure is ignored, potentially leading to process crashes or significant performance degradation. Applications utilizing `reply.send()` to return a `ReadableStream` or a `Response` with a Web Stream body are susceptible. The issue can allow a remote client to exhaust server memory. **Recommendations** Versions prior to 5.7.3 should be upgraded to version 5.7.3 or later. As a workaround, avoid sending Web Streams from Fastify responses (e.g., `ReadableStream` or `Response` bodies). Use Node.js streams (`stream.Readable`) or buffered payloads instead.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Undici anteriores a 7.18.0 Versões do Undici anteriores a 6.23.0 **Descrição** O Undici é um cliente HTTP/1.1 para Node.js. Um servidor malicioso pode inserir milhares de etapas de compressão devido a um número ilimitado de elos na cadeia de descompressão e ao `maxHeaderSize` padrão, levando ao alto uso de CPU e à alocação excessiva de memória. A API `fetch()` oferece suporte a algoritmos de codificação HTTP encadeados para o conteúdo da resposta, o que também é suportado pelo interceptador de descompressão do undici. **Recomendações** Atualize para a versão 7.18.0 ou 6.23.0. Como solução alternativa, aplique um interceptador do undici para filtrar manualmente sequências longas de `Content-Encoding`.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Fastify de 4.29.0 a 5.3.1 Versão 4.9.0 do Fastify **Descrição** O Fastify é um framework web rápido e de baixa sobrecarga para Node.js. Aplicações que especificam diferentes estratégias de validação para diferentes tipos de conteúdo podem contornar a validação ao fornecer um tipo de conteúdo ligeiramente alterado, como com variações em maiúsculas e minúsculas ou espaços em branco alterados antes do ponto e vírgula (;). Este problema afeta aplicações que utilizam um padrão de schema específico onde tipos de conteúdo individuais são definidos com seus próprios schemas. O patch inicial na versão 5.3.1 não resolveu completamente o problema, e uma correção completa foi lançada nas versões 5.3.2 e 4.29.1. **Recomendações** Versões do Fastify de 4.29.0 a 5.3.1: Atualize para a versão 5.3.2 ou 4.29.1 para resolver o problema. Versão 4.9.0 do Fastify: Atualize para a versão 4.9.1 para resolver o problema. Como solução alternativa para todas as versões afetadas, evite especificar tipos de conteúdo individuais no schema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do @fastify/multipart anteriores a 8.3.1 e 9.0.3 **Descrição** O problema está relacionado à função `saveRequestFiles` no plugin @fastify/multipart para Fastify, que falha ao excluir arquivos temporários enviados quando um usuário cancela uma requisição. Isso pode ser explorado por um atacante remoto para causar uma negação de serviço ao enviar uma requisição especialmente elaborada. O problema é causado pelo tratamento incorreto de tokens de autenticação devido à alocação ilimitada de recursos. **Recomendações** Para versões anteriores a 8.3.1, atualize para a versão 8.3.1 ou posterior. Para versões anteriores a 9.0.3, atualize para a versão 9.0.3 ou posterior. Como solução temporária, não utilize a função `saveRequestFiles` até que uma correção seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Undici anteriores à 5.28.4 Versões do Undici anteriores à 6.11.1 **Descrição** O problema está relacionado ao cliente Undici HTTP/1.1 para Node.js, que apresenta uma falha no procedimento de autorização. Especificamente, o Undici limpa os cabeçalhos Authorization e Proxy-Authorization para `fetch()`, mas não o faz para `undici.request()`. Isso poderia permitir que um invasor remoto executasse código arbitrário. **Recomendações** Para versões anteriores à 5.28.4, atualize para a versão 5.28.4 ou posterior. Para versões anteriores à 6.11.1, atualize para a versão 6.11.1 ou posterior. Como solução temporária, considere usar `fetch()` em vez de `undici.request()`. Como alternativa, desative `maxRedirections` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Undici anteriores à 6.6.1 **Descrição** O problema está relacionado à função `fetch()` do cliente Undici HTTP/1.1 para Node.js, o que pode levar ao consumo descontrolado de recursos. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. O problema surge quando `fetch(url)` é chamado e o corpo da resposta recebida não é consumido ou é consumido muito lentamente, resultando em um vazamento de memória. **Recomendações** Para versões anteriores à 6.6.1, atualize para a versão 6.6.1 ou posterior para resolver o problema. Para usuários que não possam atualizar, certifique-se de sempre consumir o corpo da resposta ao chamar `fetch(url)` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** @fastify/multipart versions prior to 6.0.1 and 7.4.1 **Description** The issue is related to the @fastify/multipart plugin, which may experience denial of service due to accepting an unlimited number of parts. This includes the multipart body parser accepting an unlimited number of file parts, field parts, and empty parts as field parts. **Recommendations** For versions prior to 6.0.1, update to version 6.0.1 or later. For versions prior to 7.4.1, update to version 7.4.1 or later.