CVE-2026-6733
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
Klient HTTP/1.1 biblioteki Undici jest podatny na zatrucie kolejki odpowiedzi na ponownie używanych gniazdach keep-alive. Złośliwy serwer może wstrzyknąć niechcianą odpowiedź HTTP/1.1 na bezczynne gniazdo, co powoduje, że odpowiedzi są dostarczane do niewłaściwych żądań.
Ocena ryzyka
Atakujący może podmienić odpowiedzi serwera, co prowadzi do naruszenia integralności danych i potencjalnego ujawnienia informacji wrażliwych. Podatność wymaga kontrolowanego przez atakującego serwera upstream oraz ponownego użycia połączeń keep-alive.
Rekomendacja
Zaleca się natychmiastową aktualizację biblioteki Undici do wersji 6.26.0, 7.28.0 lub 8.5.0. Jeśli aktualizacja nie jest możliwa, należy wyłączyć ponowne użycie połączeń keep-alive poprzez ustawienie keepAliveTimeout: 0 na kliencie lub puli.
Oryginalny opis (angielski, źródło NVD)
Impact: Undici's HTTP/1.1 client is vulnerable to response queue poisoning on reused keep-alive sockets. An attacker-controlled upstream server can inject an unsolicited HTTP/1.1 response onto an idle socket after a request completes. When the client dispatches the next request on that socket, it associates the injected response with the new request, causing responses to be delivered to the wrong requests. This requires an attacker-controlled or compromised upstream HTTP/1.1 server and keep-alive connection reuse. Patches: Upgrade to undici v6.26.0, v7.28.0 or v8.5.0. Workarounds: Disable keep-alive connection reuse by setting keepAliveTimeout: 0 on the Client or Pool.

