CVE-2026-2391
NiskieStreszczenie
Opcja `arrayLimit` w bibliotece qs nie egzekwuje limitów dla wartości oddzielonych przecinkami, gdy `comma: true` jest włączone, co pozwala atakującym na spowodowanie odmowy usługi poprzez wyczerpanie pamięci. Jest to obejście egzekwowania limitu tablicy, podobne do obejścia notacji nawiasowej omówionego w GHSA-6.
Ocena ryzyka
Organizacja może być narażona na ataki typu denial-of-service, co prowadzi do wyczerpania zasobów pamięci i potencjalnych przestojów w działaniu usług.
Rekomendacja
Zaleca się monitorowanie i ograniczenie wartości przekazywanych do opcji `arrayLimit`, a także rozważenie wyłączenia opcji `comma: true`, aby zminimalizować ryzyko wyczerpania pamięci.
Oryginalny opis (angielski, źródło NVD)
### Summary The `arrayLimit` option in qs does not enforce limits for comma-separated values when `comma: true` is enabled, allowing attackers to cause denial-of-service via memory exhaustion. This is a bypass of the array limit enforcement, similar to the bracket notation bypass addressed in GHSA-6

