CVE-2026-2391

Nome do Software Vulnerável e Versões Afetadas qs (versões afetadas não especificadas)

Descrição A opção arrayLimit na biblioteca qs não impõe corretamente os limites ao analisar valores separados por vírgula com a opção comma habilitada. Isso permite que atacantes potencialmente causem uma condição de negação de serviço (DoS) esgotando os recursos de memória. O problema surge porque a verificação do limite ocorre após a lógica de tratamento de vírgulas, permitindo contornar a restrição de tamanho do array pretendida. Especificamente, a função split(',') retorna o array imediatamente, ignorando a verificação de limite subsequente. Um atacante pode enviar um único parâmetro contendo um grande número de vírgulas (por exemplo, ?param=,,,,,,,,...) para alocar um array massivo na memória, contornando a configuração arrayLimit. O código vulnerável está localizado em lib/parse.js, linhas 40-50. A verificação arrayLimit é contornada quando a opção comma está definida como true.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.