Zurück zur Liste

qs has a remotely triggerable DoS: qs.stringify crashes with TypeError on null/undefined entries in comma-format arrays when encodeValuesOnly is set — CVE-2026-8723

GitHub · GitHub · CVE-2026-8723

ID
CVE-2026-8723

Datum
2026-05-22

Activity
2026-05-22

Quelle
GitHub

Vendor
GitHub

Risiko
medium

CVSS
6.3

EPSS
0.00044

Zusammenfassung

### Summary `qs.stringify` throws `TypeError` when called with `arrayFormat: 'comma'` and `encodeValuesOnly: true` on an array containing `null` or `undefined`. The throw is synchronous and not handled by any of qs's null-related options (`skipNulls`, `strictNullHandling`). ### Details In the comma + `encodeValuesOnly` branch, `lib/stringify.js:145` mapped the array through the raw encoder before joining: ```js obj…

Produkt

npm: qs

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W21

aiograpi: Unsafe signup challenge path handling

2026-05-23 CVE-2026-47157

mediumGitHub GitHub 2026-W21

Arcane: Missing admin authorization on global variables endpoint

2026-05-23 CVE-2026-47125

highGitHub GitHub 2026-W21

AstrBot: File upload vulnerability in the function post_file of the file astrbot/dashboard/routes/chat.py

2026-05-23 CVE-2026-8754

lowGitHub GitHub 2026-W21

Beetl's SpELFunction extension function has an expression injection risk

2026-05-23 CVE-2026-8759

mediumGitHub GitHub 2026-W21

CVE-2026-43029 mptcp: fix soft lockup in mptcp_recvmsg()

2026-05-23 CVE-2026-43029

highMicrosoft CVE 2026-W21

CVE-2026-43414 scsi: qla2xxx: Completely fix fcport double free

2026-05-23 CVE-2026-43414

criticalMicrosoft CVE 2026-W21