CVE-2026-3449
LowSummary
Wersje pakietu @tootallnate/once przed 3.0.1 są podatne na nieprawidłowe zarządzanie przepływem kontroli podczas rozwiązywania obietnic, gdy używana jest opcja AbortSignal. Obietnica pozostaje w stanie oczekiwania po anulowaniu sygnału, co powoduje, że każde użycie await lub .then() wiesza się na czas nieokreślony.
Risk Assessment
Organizacje mogą napotkać problemy z wydajnością i stabilnością aplikacji, ponieważ operacje asynchroniczne mogą nie kończyć się, co prowadzi do zastoju w działaniu systemu.
Recommendation
Zaleca się aktualizację pakietu @tootallnate/once do wersji 3.0.1 lub nowszej, aby usunąć tę podatność i zapewnić prawidłowe działanie obietnic.
Original NVD description (English source)
Versions of the package @tootallnate/once before 3.0.1 are vulnerable to Incorrect Control Flow Scoping in promise resolving when AbortSignal option is used. The Promise remains in a permanently pending state after the signal is aborted, causing any await or .then() usage to hang indefinitely. This

