CVE-2026-15631 in http-proxyالمعلومات

الملخص

بحسب VulDB • 18/07/2026

التأثير: تفشل الإصدارات من `@fastify/http-proxy` بدءاً من 9.4.0 وحتى 11.5.0 (شاملة) في التحقق من صحة مسار الوجهة لبروتوكول WebSocket المحلّل مقابل بادئة إعادة الكتابة المُعدّة مسبقاً. يقوم مسار توجيه WebSocket في الدالة `WebSocketProxy.findUpstream` بحلّ العنوان النهائي باستخدام منشئ عناوين WHATWG URL، والذي يدمج أجزاء النقاط (dot segments)، مما يسمح لطلب ترقية مُصاغ بعناية يحتوي على تسلسلات اجتياز المسار بالهروب من بادئة إعادة الكتابة والوصول إلى نقاط نهاية الخوادم الأمامية التي لم يكن المقصود تعريضها عبر الوكيل. يُعد هذا حالة مشتقة من CVE-2021-21322 في مسار كودي لم يخضع لتصحيح HTTP الخاص بـ `fastify/reply-from`. تتطلب عملية الاستغلال عميل WebSocket لا يقوم بتطبيع (normalize) المدخلات، حيث أن المتصفحات وحزمة `ws` تقوم بتطبيع مسار الطلب قبل إرساله، لكن العملاء الذين يستخدمون HTTP الخام أو الوكلاء الوسيطين في الأسفل الذين يعيدون توجيه هدف الطلب دون تغيير يجعل الهجوم قابلاً للتنفيذ في طوبولوجيات الإنتاج.

التصحيحات: الترقية إلى الإصدار 11.6.0 من `@fastify/http-proxy`.

الحلول البديلة: لا توجد حلول بديلة متاحة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

Openjs

حجز

13/07/2026

إفشاء

18/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-380055

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!