CVE-2026-12143

Nome do Software Vulnerável e Versões Afetadas form-data versões anteriores a 2.5.6 form-data versões anteriores a 3.0.5 form-data versões anteriores a 4.0.6

Description O argumento field em FormData#append e a opção filename são concatenados literalmente no cabeçalho Content-Disposition sem a neutralização de caracteres de retorno de carro (CR), alimentação de linha (LF) ou aspas duplas ("). Isso permite que um invasor realize a injeção de CRLF (Carriage Return Line Feed), que é o processo de inserir caracteres especiais para manipular a estrutura de um cabeçalho HTTP. Se uma aplicação utilizar entradas não confiáveis como nome de campo ou nome de arquivo, um invasor poderá encerrar a linha do cabeçalho para injetar cabeçalhos adicionais ou contrabandear partes multipart inteiras na requisição encaminhada para um backend. Isso pode permitir que o invasor adicione ou substitua campos de formulário, como definir is admin=true, conforme visualizado pelo analisador downstream.

Recommendations Atualizar para a versão 2.5.6. Atualizar para a versão 3.0.5. Atualizar para a versão 4.0.6.