Nathanael Braun

**Nome do software vulnerável e versões afetadas** Versões do qs anteriores à 6.10.3 Versões do Express anteriores à 4.17.3 **Descrição** A vulnerabilidade permite que invasores provoquem o travamento de um processo Node em uma aplicação Express, pois uma chave ` proto ` pode ser utilizada. Em muitos casos típicos de uso do Express, um invasor remoto não autenticado pode inserir a carga de ataque na string de consulta da URL usada para acessar a aplicação, como `a[ proto ]=b&a[ proto ]&a[length]=100000000`. **Recomendações** Para versões do qs anteriores à 6.10.3, atualize para o qs 6.10.3 ou posterior. Para versões do Express anteriores à 4.17.3, atualize para o Express 4.17.3 ou posterior, que inclui a versão corrigida do qs. Como solução alternativa temporária, considere restringir o acesso aos parâmetros de string de consulta `a[ proto ]` e `a[length]` para minimizar o risco de exploração.