CVE-2026-54297

Nome do Software Vulnerável e Versões Afetadas Faraday versões anteriores a 2.14.2-2-g59334e0

Description O Faraday::NestedParamsEncoder, o codificador/decodificador padrão de parâmetros de consulta aninhados, decodifica strings de consulta aninhadas sem impor um limite máximo de profundidade. Um invasor pode fornecer uma string de consulta manipulada com parâmetros profundamente aninhados, fazendo com que a função interna dehash() processe a estrutura recursivamente sem limite. Isso leva ao esgotamento da pilha, disparando um SystemStackError (stack level too deep) que trava a thread ou worker Ruby solicitante, resultando em negação de serviço. Este problema ocorre quando as aplicações passam strings de consulta não confiáveis para Faraday::Utils.parse nested query() ou durante a construção de URLs através do método build url().

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.