CVE-2026-30827

Nome do Software Vulnerável e Versões Afetadas express-rate-limit versões 8.0.0 até 8.0.1 express-rate-limit versões 8.1.0 até 8.1.1 express-rate-limit versões 8.2.0 até 8.2.1

Descrição O keyGenerator padrão do express-rate-limit aplica incorretamente a máscara de sub-rede IPv6 a endereços IPv6 mapeados para IPv4. Isso resulta em todo o tráfego IPv4 ser colocado em um único bucket de limite de taxa. Consequentemente, um único cliente que esgotar o limite de taxa pode causar erros HTTP 429 para todos os outros clientes IPv4. O problema ocorre em servidores dual-stack do Node.js onde request.ip contém endereços IPv6 mapeados para IPv4. Isso afeta apenas a configuração padrão do keyGenerator. O problema pode levar a uma negação de serviço, já que um único cliente pode bloquear todo o tráfego IPv4.

Recomendações Atualize para a versão 8.0.2 do express-rate-limit. Atualize para a versão 8.1.1 do express-rate-limit. Atualize para a versão 8.2.2 do express-rate-limit. Atualize para a versão 8.3.0 do express-rate-limit.