CVE-2026-27601

Nome do Software Vulnerável e Versões Afetadas Versões do Underscore.js anteriores à 1.13.8

Descrição O Underscore.js, uma biblioteca de utilitários JavaScript, contém um problema nas funções .flatten e .isEqual. Essas funções utilizam recursão sem limite de profundidade, o que pode levar a um ataque de Negação de Serviço (DoS) por estouro de pilha. A exploração requer que um atacante forneça entradas não confiáveis que criem uma estrutura de dados recursiva, como o uso de JSON.parse sem limite de profundidade. Para .flatten, a vulnerabilidade pode ser explorada se a estrutura de dados consistir em arrays em todos os níveis e nenhum limite de profundidade finito for fornecido como argumento. Para .isEqual, a exploração requer a comparação de duas estruturas de dados distintas submetidas pelo mesmo cliente, por exemplo, dados armazenados em um banco de dados comparados a dados recém-submetidos ou analisar os mesmos dados duas vezes. As exceções resultantes do estouro de pilha não são tratadas.

Recomendações Atualize o Underscore.js para a versão 1.13.8 ou posterior.