नेस्ट प्रभावित है DoS से Recursive handleData में JsonSocket (TCP Transport) के माध्यम से

इस भेद्यता का फायदा उठाकर, एक हमलावर कई छोटे, मान्य JSON संदेशों को एक TCP फ्रेम में भेज सकता है। इससे handleData() फ़ंक्शन बार-बार कॉल किया जाता है, जिससे कॉल स्टैक ओवरफ्लो हो जाता है। लगभग 47 KB का पेलोड इस समस्या को ट्रिगर करने के लिए पर्याप्त है। इस हमले के परिणामस्वरूप सेवा से इनकार हो सकता है, जिससे एप्लिकेशन अनुपलब्ध हो सकता है और उपयोगकर्ताओं को नुकसान हो सकता है। इस भेद्यता का उपयोग करके, हमलावर सिस्टम संसाधनों को भी समाप्त कर सकता है, जिससे अन्य अनुप्रयोगों के प्रदर्शन पर असर पड़ सकता है।

Applications built with NestJS that utilize the @nestjs/microservices package and are running versions prior to 11.1.19 are at risk. This includes microservices architectures and applications relying on TCP-based communication for inter-service communication. Specifically, deployments with limited resources or those handling high volumes of incoming requests are more vulnerable.

• nodejs / server:

  npm list @nestjs/microservices

• nodejs / server:

  ps aux | grep -i microservices | grep -i json

• nodejs / server:

  journalctl -u your-nestjs-app -f | grep -i RangeError

1. 2026-04-14Disclosure

   disclosure

2. 2026-04-14Patch

   patch

1. आरक्षित2026-04-15
2. प्रकाशित2026-04-14
3. संशोधित2026-04-27
4. EPSS अद्यतन2026-04-29

इस भेद्यता को कम करने के लिए, @nestjs/microservices को संस्करण 11.1.19 या उसके बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके बड़ी TCP फ़्रेमों को ब्लॉक कर सकते हैं। इसके अतिरिक्त, आप अपने एप्लिकेशन में इनपुट सत्यापन लागू कर सकते हैं ताकि यह सुनिश्चित किया जा सके कि JSON संदेशों का आकार एक निश्चित सीमा से अधिक न हो। अपग्रेड के बाद, यह सत्यापित करें कि सेवा सामान्य रूप से काम कर रही है और कोई त्रुटि नहीं है।