Platform
nodejs
Component
@nestjs/microservices
Opgelost in
11.1.20
11.1.20
11.1.19
CVE-2026-40879 is een Denial of Service (DoS) kwetsbaarheid in de @nestjs/microservices bibliotheek. Deze kwetsbaarheid ontstaat doordat de handleData() functie recursief wordt aangeroepen voor elk JSON-bericht in een TCP-frame, wat kan leiden tot een call stack overflow. De kwetsbaarheid treft versies van @nestjs/microservices tot en met 11.1.18. Een fix is beschikbaar in versie 11.1.19.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot een Denial of Service (DoS) aanval, waarbij de applicatie onbereikbaar wordt voor legitieme gebruikers. Een aanvaller kan een relatief kleine payload van ongeveer 47 KB gebruiken om de kwetsbaarheid te triggeren. De recursieve aard van de handleData() functie, gecombineerd met de manier waarop de buffer wordt verkleind bij elke aanroep, zorgt ervoor dat de maximale buffer grootte nooit wordt bereikt, maar wel een call stack overflow veroorzaakt. Dit kan de hele Node.js applicatie crashen of onbruikbaar maken.
Deze kwetsbaarheid is ontdekt en openbaar gemaakt op 14 april 2026. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de relatieve eenvoud van de exploitatie maakt het potentieel voor misbruik aanwezig. Er zijn publieke proof-of-concept exploits beschikbaar, wat het risico op snelle uitbuiting vergroot. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus.
Applications built with NestJS that utilize the @nestjs/microservices package and are running versions prior to 11.1.19 are at risk. This includes microservices architectures and applications relying on TCP-based communication for inter-service communication. Specifically, deployments with limited resources or those handling high volumes of incoming requests are more vulnerable.
• nodejs / server:
npm list @nestjs/microservices• nodejs / server:
ps aux | grep -i microservices | grep -i json• nodejs / server:
journalctl -u your-nestjs-app -f | grep -i RangeErrordisclosure
patch
Exploit Status
EPSS
0.06% (17% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van @nestjs/microservices naar versie 11.1.19 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de grootte van de JSON-berichten die worden verwerkt. Dit kan bijvoorbeeld door een WAF (Web Application Firewall) te implementeren die grote berichten blokkeert. Het monitoren van de applicatie op ongebruikelijke CPU- of geheugengebruik kan helpen bij het detecteren van een DoS-aanval. Na de upgrade, controleer de applicatielogboeken op foutmeldingen gerelateerd aan stack overflows om te bevestigen dat de kwetsbaarheid is verholpen.
Werk bij naar versie 11.1.19 of hoger om het risico op een denial-of-service te beperken. Deze versie corrigeert het probleem door overmatige recursie in de handleData-functie te voorkomen, waardoor een call stack overflow wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-40879 is a Denial of Service vulnerability in the @nestjs/microservices Node.js package where sending many small JSON messages can cause a call stack overflow, leading to application crashes.
You are affected if you are using @nestjs/microservices versions 11.1.18 or earlier. Upgrade to 11.1.19 or later to resolve the vulnerability.
Upgrade the @nestjs/microservices package to version 11.1.19 or later. Consider rate limiting and input validation as temporary mitigations if upgrading is not immediately possible.
As of the publication date, there is no evidence of active exploitation in the wild, and no public proof-of-concept code is available.
Refer to the official NestJS documentation and release notes for details on the fix and any related advisories: https://nestjs.com/
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.