CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-2391

Low
Published: Translated: NVD NIST

Summary

Opcja `arrayLimit` w bibliotece qs nie egzekwuje limitów dla wartości oddzielonych przecinkami, gdy `comma: true` jest włączone, co pozwala atakującym na spowodowanie odmowy usługi poprzez wyczerpanie pamięci. Jest to obejście egzekwowania limitu tablicy, podobne do obejścia notacji nawiasowej omówionego w GHSA-6.

Risk Assessment

Organizacja może być narażona na ataki typu denial-of-service, co prowadzi do wyczerpania zasobów pamięci i potencjalnych przestojów w działaniu usług.

Recommendation

Zaleca się monitorowanie i ograniczenie wartości przekazywanych do opcji `arrayLimit`, a także rozważenie wyłączenia opcji `comma: true`, aby zminimalizować ryzyko wyczerpania pamięci.

Original NVD description (English source)

### Summary The `arrayLimit` option in qs does not enforce limits for comma-separated values when `comma: true` is enabled, allowing attackers to cause denial-of-service via memory exhaustion. This is a bypass of the array limit enforcement, similar to the bracket notation bypass addressed in GHSA-6

Vulnerability data from NVD (NIST) · CISA KEV · EPSS