js · form-dataCrítico
form-data: CRLF injection em Content-Disposition (Red)
CRLF injection vulnerability em form-data: nomes de campo e nomes de arquivo não são escapados ao construir cabeçalhos Content-Disposition, permitindo injeção d
O que mudou
CRLF injection vulnerability em form-data: nomes de campo e nomes de arquivo não são escapados ao construir cabeçalhos Content-Disposition, permitindo injeção de cabeçalhos e contrabando de partes multipart.
Quem isso afeta
Aplicações que passam entrada não confiável como nomes de campo ou nomes de arquivo para FormData#append.
O que fazer hoje
Atualize para as versões 4.0.6, 3.0.5 ou 2.5.6, ou valide/rejeite nomes de campo e nomes de arquivo contendo caracteres de controle.
A esteira
Coletado→
Auditado→
Redigido→
Publicado