CVE-2026-9678

Nome do Software Vulnerável e Versões Afetadas undici versões anteriores a 7.28.0 undici versões anteriores a 8.5.0

Descrição O interceptor de cache classifica incorretamente certas respostas como cacheáveis quando o cabeçalho Cache-Control upstream contém nomes de campos privados qualificados ou no-cache com preenchimento de espaços em branco, como private=" authorization" ou no-cache="tauthorization". Como o analisador preserva esses espaços em branco, as comparações com o nome de campo literal authorization falham, fazendo com que a resposta seja armazenada. No modo de cache compartilhado, isso pode levar à divulgação de informações entre usuários, onde uma resposta contendo dados autenticados de um usuário é servida do cache para um chamador subsequente, incluindo usuários não autenticados, caso ambas as solicitações compartilhem a mesma chave de cache.

Recomendações Atualize para a versão 7.28.0. Atualize para a versão 8.5.0. Desative o modo de cache compartilhado para o tráfego que inclui cabeçalhos de Autorização. Evite o cache de respostas para solicitações autenticadas. Adicione Vary: Authorization no upstream.