LOW🇬🇧 English

CVE-2026-3449

CVSS 1.9v4.0pub. 2026-03-03upd. 2026-05-19

Wersje pakietu @tootallnate/once poniżej 3.0.1 są podatne na nieprawidłową kontrolę zakresu (Incorrect Control Flow Scoping) w rozwiązywaniu promise'a, gdy używana jest opcja AbortSignal. Promise pozostaje w stanie wiecznie oczekującym po przerwaniu sygnału, co powoduje, że każde użycie await lub .then() wiesza się na czas nieokreślony. Może to prowadzić do wycieku kontroli przepływu, który może spowodować zatrzymane żądania, zablokowane workery lub pogorszenie dostępności aplikacji.

Pokaż oryginał (EN)

Versions of the package @tootallnate/once before 3.0.1 are vulnerable to Incorrect Control Flow Scoping in promise resolving when AbortSignal option is used. The Promise remains in a permanently pending state after the signal is aborted, causing any await or .then() usage to hang indefinitely. This can cause a control-flow leak that can lead to stalled requests, blocked workers, or degraded application availability.

CVSS Vector
CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2026-3449 — LOW 1.9 | CVEbaza.pl