CVE-2026-11525

Nome do Software Vulnerável e Versões Afetadas undici versões 5.15.0 até 6.25.x undici versões 7.0.0 até 7.27.x undici versões 8.0.0 até 8.4.x

Description Ao analisar um cabeçalho Set-Cookie, o software aceita qualquer valor de atributo SameSite que contenha Strict, Lax ou None como uma substring, em vez de exigir uma correspondência exata insensível a maiúsculas e minúsculas, conforme especificado pela RFC 6265. Isso permite que valores fora da especificação sejam mapeados silenciosamente para tokens padrão; por exemplo, SameSite=NoneOfYourBusiness é analisado como None, e SameSite=StrictLax é analisado como Lax. Aplicativos que consomem cabeçalhos Set-Cookie via caminhos de código fetch ou proxy e dependem do atributo sameSite analisado podem ser coagidos por um servidor malicioso ou não compatível a aplicar uma política SameSite mais fraca, degradando a aplicação pretendida do cookie.

Recommendations Atualize para a versão 6.26.0. Atualize para a versão 7.28.0. Atualize para a versão 8.5.0. Como alternativa temporária, valide se o atributo sameSite resultante é exatamente 'Strict', 'Lax' ou 'None' (insensível a maiúsculas e minúsculas) após analisar um cabeçalho Set-Cookie e antes de confiar nele.