PT-2026-2950 · Node.Js · Undici

Mcollina

·

Publicado

2026-01-01

·

Atualizado

2026-06-04

·

CVE-2026-22036

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas Versões do Undici anteriores a 7.18.0 Versões do Undici anteriores a 6.23.0
Descrição O Undici é um cliente HTTP/1.1 para Node.js. Um servidor malicioso pode inserir milhares de etapas de compressão devido a um número ilimitado de elos na cadeia de descompressão e ao maxHeaderSize padrão, levando ao alto uso de CPU e à alocação excessiva de memória. A API fetch() oferece suporte a algoritmos de codificação HTTP encadeados para o conteúdo da resposta, o que também é suportado pelo interceptador de descompressão do undici.
Recomendações Atualize para a versão 7.18.0 ou 6.23.0. Como solução alternativa, aplique um interceptador do undici para filtrar manualmente sequências longas de Content-Encoding.

Exploit

Correção

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-770

Identificadores relacionados

CVE-2026-22036
ECHO-8428-9583-4BB5
GHSA-G9MF-H72J-4RW9
OPENSUSE-SU-2026:10074-1
OPENSUSE-SU-2026:10075-1
OPENSUSE-SU-2026:20236-1
SUSE-SU-2026:0295-1
SUSE-SU-2026:0301-1
SUSE-SU-2026:0435-1
SUSE-SU-2026:0457-1
SUSE-SU-2026:20436-1

Produtos afetados

Undici