PT-2026-56769 · Npm · Body-Parser

Bjohansebas

+2

·

Publicado

2026-07-09

·

Atualizado

2026-07-09

·

CVE-2026-12590

CVSS v3.1

3.7

Baixa

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
Nome do Software Vulnerável e Versões Afetadas body-parser versões anteriores a 1.20.6 body-parser versões anteriores a 2.3.0
Descrição Quando o parser é configurado com um valor de opção limit inválido, como uma string não analisável ou NaN (Not-a-Number), a verificação do tamanho do corpo da requisição é silenciosamente ignorada. Isso ocorre porque o mecanismo de análise interno retorna nulo, fazendo com que aplicações que dependem do parâmetro limit como sua principal salvaguarda aceitem cargas úteis arbitrariamente grandes. Isso pode levar ao consumo excessivo de memória e CPU, resultando em uma negação de serviço.
Recomendações Atualize o body-parser para a versão 1.20.6 ou posterior. Atualize o body-parser para a versão 2.3.0 ou posterior. Valide o valor de limit antes de passá-lo ao parser, garantindo que o valor não seja nulo ou um número não finito durante a inicialização.

Correção

DoS

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-12590

Produtos afetados

Body-Parser