Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CVE-2026-6733

PUBLISHED 17.06.2026

CNA: openjs

undici vulnerable to HTTP response queue poisoning via keep-alive socket reuse

Обновлено: 17.06.2026
Impact: Undici's HTTP/1.1 client is vulnerable to response queue poisoning on reused keep-alive sockets. An attacker-controlled upstream server can inject an unsolicited HTTP/1.1 response onto an idle socket after a request completes. When the client dispatches the next request on that socket, it associates the injected response with the new request, causing responses to be delivered to the wrong requests. This requires an attacker-controlled or compromised upstream HTTP/1.1 server and keep-alive connection reuse. Patches: Upgrade to undici v6.26.0, v7.28.0 or v8.5.0. Workarounds: Disable keep-alive connection reuse by setting keepAliveTimeout: 0 on the Client or Pool.

CWE

Идентификатор Описание
CWE-367 The product checks the state of a resource before using that resource, but the resource's state can change between the check and the use in a way that invalidates the results of the check.

CVSS

Оценка Severity Версия Базовый вектор
3.7 LOW 3.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Доп. Информация

Product Status

undici
Product: undici
Vendor: undici
Default status: unaffected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 0 до 6.26.0 affected
Наблюдалось в версии 6.26.0 unaffected
Наблюдалось в версиях от 7.0.0 до 7.28.0 affected
Наблюдалось в версии 7.28.0 unaffected
Наблюдалось в версиях от 8.0.0 до 8.5.0 affected
Наблюдалось в версии 8.5.0 unaffected
 

Ссылки

CISA ADP Vulnrichment

Обновлено: 17.06.2026
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none no partial 2.0.3 17.06.2026

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.