CVE-2026-44214

Nome do Software Vulnerável e Versões Afetadas eventsource-encoder versões anteriores a 1.0.2

Descrição O software não sanitiza os campos event e id de um EventSourceMessage antes da serialização na função encodeMessage(). Um invasor que controle esses campos pode injetar terminadores de linha de Server-Sent Events (SSE) ( , r ou r ), permitindo a falsificação de campos SSE adicionais ou mensagens inteiras no fluxo. Isso pode levar à falsificação de eventos de tipos arbitrários, injeção de campos como data:, id: ou retry:, divisão de uma única chamada de codificação em múltiplos eventos de navegador ou a sobreposição do Last-Event-ID do cliente.

Recomendações Atualize para a versão 1.0.2. Como medida paliativa temporária, valide ou remova os terminadores de linha de qualquer valor não confiável antes de passá-lo para as funções encode ou encodeMessage().