Tndud042713

**Nome do Software Vulnerável e Versões Afetadas** undici versões 5.15.0 até 6.25.x undici versões 7.0.0 até 7.27.x undici versões 8.0.0 até 8.4.x **Description** Ao analisar um cabeçalho Set-Cookie, o software aceita qualquer valor de atributo SameSite que contenha Strict, Lax ou None como uma substring, em vez de exigir uma correspondência exata insensível a maiúsculas e minúsculas, conforme especificado pela RFC 6265. Isso permite que valores fora da especificação sejam mapeados silenciosamente para tokens padrão; por exemplo, SameSite=NoneOfYourBusiness é analisado como None, e SameSite=StrictLax é analisado como Lax. Aplicativos que consomem cabeçalhos Set-Cookie via caminhos de código fetch ou proxy e dependem do atributo `sameSite` analisado podem ser coagidos por um servidor malicioso ou não compatível a aplicar uma política SameSite mais fraca, degradando a aplicação pretendida do cookie. **Recommendations** Atualize para a versão 6.26.0. Atualize para a versão 7.28.0. Atualize para a versão 8.5.0. Como alternativa temporária, valide se o atributo `sameSite` resultante é exatamente 'Strict', 'Lax' ou 'None' (insensível a maiúsculas e minúsculas) após analisar um cabeçalho Set-Cookie e antes de confiar nele.

**Nome do Software Vulnerável e Versões Afetadas** undici versões 6.x anteriores a 6.26.0 undici versões 7.0.0 até 7.27.x undici versões 8.x anteriores a 8.5.0 **Description** O analisador de cookies na função `parseSetCookie` realiza a decodificação de percentagem (percent-decode) de valores de cookies via `qsUnescape`, convertendo sequências codificadas como %0D%0A, %00, %3B e %3D em seus equivalentes de bytes literais. Este comportamento diverge da RFC 6265 §5.4 e dos padrões de navegadores, que não especificam tal decodificação. Aplicações que utilizam `parseSetCookie`, `parseCookie` ou `getSetCookies` e, posteriormente, encaminham esses valores analisados para cabeçalhos de resposta (como proxies, middlewares ou frameworks SSR) estão suscetíveis à injeção de cabeçalho de resposta HTTP. Isso permite que uma fonte upstream controlada por um invasor injete cabeçalhos Set-Cookie, Location ou Cache-Control arbitrários na resposta downstream da aplicação, possibilitando a fixação de sessão, redirecionamento aberto ou envenenamento de cache. **Recommendations** Atualize para a versão 6.26.0 para versões no ramo 6.x. Atualize para a versão 7.28.0 para versões no ramo 7.x. Atualize para a versão 8.5.0 para versões no ramo 8.x. Como alternativa temporária, sanitize os valores retornados por `parseSetCookie()`, `parseCookie()` ou `getSetCookies()` para remover ou rejeitar bytes CR, LF, NUL, ; e = antes de encaminhá-los para os cabeçalhos de resposta.

**Nome do Software Vulnerável e Versões Afetadas** multer versões 1.0.0 até 2.1.1 multer versão 3.0.0-alpha.1 **Description** Um problema de Negação de Serviço (Denial of Service) existe devido à maneira como a dependência `append-field` analisa a notação de colchetes em nomes de campos em dados de formulários multipart. Como não há limite para a profundidade do aninhamento, um invasor pode enviar uma única requisição HTTP com um corpo multipart manipulado para forçar a alocação de estruturas de objetos profundamente aninhadas, resultando em consumo excessivo de CPU e memória. **Recommendations** Para as versões 1.0.0 até 2.1.1, atualize para a versão 2.2.0 e configure a opção `limits.fieldNestingDepth` para a profundidade mínima exigida pela aplicação. Para a versão 3.0.0-alpha.1, atualize para a versão 3.0.0-alpha.2 e configure a opção `limits.fieldNestingDepth` para a profundidade mínima exigida pela aplicação. Como medida de mitigação temporária, defina `limits.fields` para um valor razoável a fim de reduzir o número de campos permitidos por requisição.

**Name of the Vulnerable Software and Affected Versions** Happy DOM versions 15.10.0 through 20.8.7 **Description** Happy DOM is a JavaScript implementation of a web browser without its graphical user interface. Versions 15.10.0 through 20.8.7 contain a code injection issue in the `ECMAScriptModuleCompiler` component. This allows an attacker to achieve Remote Code Execution (RCE) by injecting arbitrary JavaScript expressions inside `export { }` declarations in ES module scripts processed by happy-dom. The compiler directly interpolates unsanitized content into generated code as an executable expression. The quote filter does not strip backticks, allowing template literal-based payloads to bypass sanitization. **Recommendations** Update to version 20.8.8 to resolve the issue.