Plateforme
nodejs
Composant
@nestjs/microservices
Corrigé dans
11.1.20
11.1.20
11.1.19
La vulnérabilité CVE-2026-40879 est une faille de déni de service (DoS) affectant la bibliothèque @nestjs/microservices. L'envoi d'un grand nombre de petits messages JSON valides dans un seul frame TCP peut provoquer un dépassement de pile en raison d'une récursion excessive dans la fonction handleData(). Cette vulnérabilité touche les versions de @nestjs/microservices inférieures ou égales à 11.1.18. Une correction est disponible dans la version 11.1.19.
Un attaquant peut exploiter cette vulnérabilité en envoyant un grand nombre de petits messages JSON valides dans un seul frame TCP. Chaque message déclenche une récursion dans la fonction handleData(), réduisant la taille du buffer à chaque appel. Bien que la taille maximale du buffer ne soit jamais atteinte, le nombre d'appels récursifs peut rapidement dépasser la capacité de la pile d'appels, entraînant un dépassement de pile (stack overflow) et une interruption du service. Un payload d'environ 47 Ko est suffisant pour déclencher cette erreur. L'impact est un déni de service, rendant le service @nestjs/microservices indisponible.
Cette vulnérabilité a été découverte et signalée publiquement le 14 avril 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la simplicité de l'exploitation et de la disponibilité du code source. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA.
Applications built with NestJS that utilize the @nestjs/microservices package and are running versions prior to 11.1.19 are at risk. This includes microservices architectures and applications relying on TCP-based communication for inter-service communication. Specifically, deployments with limited resources or those handling high volumes of incoming requests are more vulnerable.
• nodejs / server:
npm list @nestjs/microservices• nodejs / server:
ps aux | grep -i microservices | grep -i json• nodejs / server:
journalctl -u your-nestjs-app -f | grep -i RangeErrordisclosure
patch
Statut de l'Exploit
EPSS
0.06% (percentile 17%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque @nestjs/microservices vers la version 11.1.19 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de limiter le nombre de messages JSON reçus par frame TCP. Vous pouvez également implémenter des mécanismes de limitation de débit (rate limiting) pour réduire le nombre de requêtes reçues par le service. En dernier recours, une configuration de proxy inverse ou d'un pare-feu applicatif web (WAF) peut être configurée pour bloquer les requêtes contenant un nombre excessif de messages JSON dans un seul frame TCP.
Mettez à jour vers la version 11.1.19 ou supérieure pour atténuer le risque de déni de service. Cette version corrige le problème en évitant la récursion excessive dans la fonction handleData, empêchant ainsi le débordement de la pile d'appels.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-40879 is a Denial of Service vulnerability in the @nestjs/microservices Node.js package where sending many small JSON messages can cause a call stack overflow, leading to application crashes.
You are affected if you are using @nestjs/microservices versions 11.1.18 or earlier. Upgrade to 11.1.19 or later to resolve the vulnerability.
Upgrade the @nestjs/microservices package to version 11.1.19 or later. Consider rate limiting and input validation as temporary mitigations if upgrading is not immediately possible.
As of the publication date, there is no evidence of active exploitation in the wild, and no public proof-of-concept code is available.
Refer to the official NestJS documentation and release notes for details on the fix and any related advisories: https://nestjs.com/
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.