Vulnerabilidad en TypeScript-first de AdonisJS (CVE-2026-25762)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
06/02/2026
Última modificación:
17/03/2026
Descripción
AdonisJS es un framework web TypeScript-first. Antes de las versiones 10.1.3 y 11.0.0-next.9, existe una vulnerabilidad de denegación de servicio (DoS) en la lógica de manejo de archivos multipart de @adonisjs/bodyparser. Al procesar cargas de archivos, el analizador multipart puede acumular una cantidad ilimitada de datos en memoria mientras intenta detectar tipos de archivo, lo que podría llevar a un consumo excesivo de memoria y a la terminación del proceso. Este problema ha sido parcheado en las versiones 10.1.3 y 11.0.0-next.9.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:adonisjs:bodyparser:*:*:*:*:*:node.js:*:* | 10.1.3 (excluyendo) | |
| cpe:2.3:a:adonisjs:bodyparser:*:*:*:*:*:node.js:*:* | 10.1.4 (incluyendo) | 11.0.0 (excluyendo) |
| cpe:2.3:a:adonisjs:bodyparser:11.0.0:next1:*:*:*:node.js:*:* | ||
| cpe:2.3:a:adonisjs:bodyparser:11.0.0:next2:*:*:*:node.js:*:* | ||
| cpe:2.3:a:adonisjs:bodyparser:11.0.0:next3:*:*:*:node.js:*:* | ||
| cpe:2.3:a:adonisjs:bodyparser:11.0.0:next4:*:*:*:node.js:*:* | ||
| cpe:2.3:a:adonisjs:bodyparser:11.0.0:next5:*:*:*:node.js:*:* | ||
| cpe:2.3:a:adonisjs:bodyparser:11.0.0:next6:*:*:*:node.js:*:* | ||
| cpe:2.3:a:adonisjs:bodyparser:11.0.0:next7:*:*:*:node.js:*:* | ||
| cpe:2.3:a:adonisjs:bodyparser:11.0.0:next8:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página