CVE-2026-9679

Nome do Software Vulnerável e Versões Afetadas undici versões 6.x anteriores a 6.26.0 undici versões 7.0.0 até 7.27.x undici versões 8.x anteriores a 8.5.0

Description O analisador de cookies na função parseSetCookie realiza a decodificação de percentagem (percent-decode) de valores de cookies via qsUnescape, convertendo sequências codificadas como %0D%0A, %00, %3B e %3D em seus equivalentes de bytes literais. Este comportamento diverge da RFC 6265 §5.4 e dos padrões de navegadores, que não especificam tal decodificação. Aplicações que utilizam parseSetCookie, parseCookie ou getSetCookies e, posteriormente, encaminham esses valores analisados para cabeçalhos de resposta (como proxies, middlewares ou frameworks SSR) estão suscetíveis à injeção de cabeçalho de resposta HTTP. Isso permite que uma fonte upstream controlada por um invasor injete cabeçalhos Set-Cookie, Location ou Cache-Control arbitrários na resposta downstream da aplicação, possibilitando a fixação de sessão, redirecionamento aberto ou envenenamento de cache.

Recommendations Atualize para a versão 6.26.0 para versões no ramo 6.x. Atualize para a versão 7.28.0 para versões no ramo 7.x. Atualize para a versão 8.5.0 para versões no ramo 8.x. Como alternativa temporária, sanitize os valores retornados por parseSetCookie(), parseCookie() ou getSetCookies() para remover ou rejeitar bytes CR, LF, NUL, ; e = antes de encaminhá-los para os cabeçalhos de resposta.