CVE-2026-27959

Nome do Software Vulnerável e Versões Afetadas Versões do Koa anteriores à 3.1.2 Versões do Koa anteriores à 2.16.4

Descrição O middleware Koa para Node.js, que utiliza funções assíncronas ES2017, possui um problema onde a API ctx.hostname analisa incorretamente o cabeçalho HTTP Host. A análise não valida a entrada em relação à sintaxe de nome de host RFC 3986, falhando especificamente em lidar corretamente com dois-pontos. Um cabeçalho Host malformado contendo um símbolo @ pode resultar em ctx.hostname retornando um valor controlado pelo atacante, como evil[.]com. Aplicações que utilizam ctx.hostname para geração de URLs, links de redefinição de senha, URLs de verificação de e-mail ou decisões de roteamento estão suscetíveis a ataques de injeção de cabeçalho Host. O endpoint da API ctx.hostname é vulnerável. O cabeçalho Host é um parâmetro vulnerável.

Recomendações Atualize para a versão 3.1.2 ou posterior do Koa. Atualize para a versão 2.16.4 ou posterior do Koa.