PT-2026-56769 · Npm · Body-Parser
Bjohansebas
+2
·
Publicado
2026-07-09
·
Atualizado
2026-07-09
·
CVE-2026-12590
CVSS v3.1
3.7
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do Software Vulnerável e Versões Afetadas
body-parser versões anteriores a 1.20.6
body-parser versões anteriores a 2.3.0
Descrição
Quando o parser é configurado com um valor de opção
limit inválido, como uma string não analisável ou NaN (Not-a-Number), a verificação do tamanho do corpo da requisição é silenciosamente ignorada. Isso ocorre porque o mecanismo de análise interno retorna nulo, fazendo com que aplicações que dependem do parâmetro limit como sua principal salvaguarda aceitem cargas úteis arbitrariamente grandes. Isso pode levar ao consumo excessivo de memória e CPU, resultando em uma negação de serviço.Recomendações
Atualize o body-parser para a versão 1.20.6 ou posterior.
Atualize o body-parser para a versão 2.3.0 ou posterior.
Valide o valor de
limit antes de passá-lo ao parser, garantindo que o valor não seja nulo ou um número não finito durante a inicialização.Correção
DoS
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Body-Parser