Plataforma
nodejs
Componente
@nestjs/microservices
Corregido en
11.1.20
11.1.20
11.1.19
La vulnerabilidad CVE-2026-40879 es una denegación de servicio (DoS) que afecta a la biblioteca @nestjs/microservices en versiones anteriores o iguales a 11.1.18. Un atacante puede explotar esta vulnerabilidad enviando una gran cantidad de mensajes JSON pequeños dentro de un único frame TCP, lo que provoca un desbordamiento de la pila de llamadas. La solución recomendada es actualizar a la versión 11.1.19 o superior.
Esta vulnerabilidad permite a un atacante causar una denegación de servicio (DoS) en aplicaciones que utilizan @nestjs/microservices. El ataque se basa en el envío de múltiples mensajes JSON válidos dentro de un único frame TCP. La función handleData() recursa una vez por cada mensaje, reduciendo el tamaño del buffer en cada llamada. Dado que el tamaño máximo del buffer nunca se alcanza, se produce un desbordamiento de la pila de llamadas. Un payload de aproximadamente 47 KB es suficiente para desencadenar un RangeError, lo que lleva a la interrupción del servicio. La severidad del impacto radica en la capacidad de un atacante para inutilizar la aplicación, impidiendo que procese solicitudes legítimas.
La vulnerabilidad fue descubierta y reportada públicamente el 14 de abril de 2026. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre campañas de explotación activas. La disponibilidad de un proof-of-concept (PoC) público podría facilitar la explotación de esta vulnerabilidad, por lo que es importante aplicar la mitigación lo antes posible.
Applications built with NestJS that utilize the @nestjs/microservices package and are running versions prior to 11.1.19 are at risk. This includes microservices architectures and applications relying on TCP-based communication for inter-service communication. Specifically, deployments with limited resources or those handling high volumes of incoming requests are more vulnerable.
• nodejs / server:
npm list @nestjs/microservices• nodejs / server:
ps aux | grep -i microservices | grep -i json• nodejs / server:
journalctl -u your-nestjs-app -f | grep -i RangeErrordisclosure
patch
Estado del Exploit
EPSS
0.06% (17% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-40879 es actualizar la biblioteca @nestjs/microservices a la versión 11.1.19 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible debido a problemas de compatibilidad, considere implementar medidas temporales como limitar la cantidad de mensajes JSON que se procesan por frame TCP. Aunque no es una solución completa, puede reducir el riesgo de desbordamiento de la pila. Además, monitorear el uso de la CPU y la memoria del proceso de Node.js puede ayudar a detectar ataques DoS en curso. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el manejo de mensajes JSON no cause errores de desbordamiento de pila al enviar payloads de prueba.
Actualice a la versión 11.1.19 o superior para mitigar el riesgo de denegación de servicio. Esta versión corrige el problema al evitar la recursión excesiva en la función handleData, previniendo así el desbordamiento de la pila de llamadas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-40879 is a Denial of Service vulnerability in the @nestjs/microservices Node.js package where sending many small JSON messages can cause a call stack overflow, leading to application crashes.
You are affected if you are using @nestjs/microservices versions 11.1.18 or earlier. Upgrade to 11.1.19 or later to resolve the vulnerability.
Upgrade the @nestjs/microservices package to version 11.1.19 or later. Consider rate limiting and input validation as temporary mitigations if upgrading is not immediately possible.
As of the publication date, there is no evidence of active exploitation in the wild, and no public proof-of-concept code is available.
Refer to the official NestJS documentation and release notes for details on the fix and any related advisories: https://nestjs.com/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.