CVE-2026-42047

Nome do Software Vulnerável e Versões Afetadas Inngest versões 3.22.0 até 3.53.1

Descrição Atacantes remotos não autenticados podem exfiltrar variáveis de ambiente do processo host por meio do manipulador HTTP 'serve()'. Embora o manipulador 'serve()' implemente os métodos GET, POST e PUT, as solicitações que utilizam PATCH, OPTIONS ou DELETE são processadas por um manipulador genérico que retorna informações de diagnóstico. Uma alteração fez com que essa resposta de diagnóstico incluísse o conteúdo de process.env, expondo segredos, chaves de API ou credenciais. As aplicações são vulneráveis se o endpoint 'serve()' estiver acessível via solicitações PATCH, OPTIONS ou DELETE, o que ocorre em certas configurações, como Next.js Pages Router ou Express usando app.use().

Recomendações Atualize para a versão 3.54.0 ou posterior. Rotacione quaisquer segredos, incluindo chaves de assinatura e chaves de evento do Inngest, que estivessem presentes em process.env nos ambientes afetados. Restrinja o endpoint 'serve()' na camada do framework ou proxy reverso para aceitar apenas solicitações GET, POST e PUT. Ajuste as regras de firewall ou proxy para permitir solicitações ao endpoint 'serve()' apenas a partir de endereços IP do Inngest.