Vulnerabilidad en undici (CVE-2026-1525)

Undici permite encabezados HTTP Content-Length duplicados cuando se proporcionan en un array con nombres que varían en mayúsculas/minúsculas (p. ej., Content-Length y content-length). Esto produce solicitudes HTTP/1.1 malformadas con múltiples valores Content-Length conflictivos en la red.<br /> <br /> Quiénes son los afectados:<br /> <br /> * Aplicaciones que utilizan undici.request(), undici.Cliente, o APIs de bajo nivel similares con encabezados pasados como arrays planos<br /> * Aplicaciones que aceptan nombres de encabezado controlados por el usuario sin normalización de mayúsculas/minúsculas<br /> <br /> Posibles consecuencias:<br /> <br /> * Denegación de Servicio: Analizadores HTTP estrictos (proxies, servidores) rechazarán las solicitudes con encabezados Content-Length duplicados (400 Solicitud Incorrecta)<br /> * Contrabando de Solicitudes HTTP: En implementaciones donde un intermediario y un backend interpretan encabezados duplicados de manera inconsistente (p. ej., uno usa el primer valor, el otro usa el último), esto puede habilitar ataques de contrabando de solicitudes que conducen a la omisión de ACL, envenenamiento de caché o secuestro de credenciales