Plataforma
nodejs
Componente
@nestjs/microservices
Corrigido em
11.1.20
11.1.20
11.1.19
A vulnerabilidade CVE-2026-40879 é um ataque de Negação de Serviço (DoS) que afeta a biblioteca @nestjs/microservices, versões até 11.1.18. Um atacante pode explorar essa falha enviando múltiplos pequenos payloads JSON em um único frame TCP, levando a um estouro de pilha devido à recursão excessiva na função handleData(). A correção está disponível na versão 11.1.19.
A exploração bem-sucedida desta vulnerabilidade pode resultar em uma negação de serviço, tornando o serviço @nestjs/microservices indisponível para usuários legítimos. O atacante pode causar um estouro de pilha, levando ao travamento da aplicação. Um payload de aproximadamente 47 KB é suficiente para disparar o erro. A ausência de um limite adequado no tamanho do payload permite que o atacante consuma recursos de forma excessiva, impactando a disponibilidade do serviço e potencialmente afetando outros componentes dependentes.
A vulnerabilidade foi descoberta e divulgada em 2026-04-14. Não há evidências de exploração ativa em campanhas conhecidas no momento da publicação. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) e a probabilidade de exploração é considerada baixa a média, dada a necessidade de um payload específico e a complexidade da exploração. A divulgação pública do CVE e a disponibilidade de um payload de demonstração podem aumentar o risco de exploração futura.
Applications built with NestJS that utilize the @nestjs/microservices package and are running versions prior to 11.1.19 are at risk. This includes microservices architectures and applications relying on TCP-based communication for inter-service communication. Specifically, deployments with limited resources or those handling high volumes of incoming requests are more vulnerable.
• nodejs / server:
npm list @nestjs/microservices• nodejs / server:
ps aux | grep -i microservices | grep -i json• nodejs / server:
journalctl -u your-nestjs-app -f | grep -i RangeErrordisclosure
patch
Status do Exploit
EPSS
0.06% (percentil 17%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar a biblioteca @nestjs/microservices para a versão 11.1.19 ou superior, que inclui a correção para esta vulnerabilidade. Enquanto a atualização não for possível, considere implementar medidas de mitigação, como limitar o tamanho máximo dos payloads JSON recebidos. Implementar um WAF (Web Application Firewall) ou proxy reverso com regras para limitar o tamanho das requisições também pode ajudar. Monitore o consumo de memória e a utilização da pilha para detectar atividades suspeitas. Após a atualização, confirme a correção verificando os logs do sistema em busca de erros relacionados ao estouro de pilha.
Atualize para a versão 11.1.19 ou superior para mitigar o risco de negação de serviço. Esta versão corrige o problema ao evitar a recursão excessiva na função handleData, prevenindo assim o estouro da pilha de chamadas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-40879 is a Denial of Service vulnerability in the @nestjs/microservices Node.js package where sending many small JSON messages can cause a call stack overflow, leading to application crashes.
You are affected if you are using @nestjs/microservices versions 11.1.18 or earlier. Upgrade to 11.1.19 or later to resolve the vulnerability.
Upgrade the @nestjs/microservices package to version 11.1.19 or later. Consider rate limiting and input validation as temporary mitigations if upgrading is not immediately possible.
As of the publication date, there is no evidence of active exploitation in the wild, and no public proof-of-concept code is available.
Refer to the official NestJS documentation and release notes for details on the fix and any related advisories: https://nestjs.com/
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.