CVE-2026-35515

Name of the Vulnerable Software and Affected Versions Nest versões anteriores a 11.1.18

Description A função SseStream. transform() interpola message.type e message.id diretamente na saída de texto do protocolo Server-Sent Events sem higienizar caracteres de nova linha (r, ). Como o protocolo SSE usa r e como delimitadores de campo e

como limites de evento, um invasor que possa influenciar esses campos pode injetar eventos SSE arbitrários, falsificar tipos de evento e corromper o estado de reconexão. Um invasor pode forjar eventos SSE com tipos de evento arbitrários event:, fazendo com que os callbacks EventSource.addEventListener() do lado do cliente sejam acionados para tipos de evento incorretos. Eles também podem injetar cargas úteis data:, o que pode levar a XSS se o cliente renderizar dados SSE como HTML sem higienização. Além disso, os invasores podem injetar campos id:, corrompendo o cabeçalho Last-Event-ID na reconexão, fazendo com que o cliente perca ou reproduza eventos. O ataque requer que o desenvolvedor mapeie dados influenciados pelo usuário para os campos type ou id das mensagens SSE.

Recommendations Atualize para a versão 11.1.18 ou posterior.