CVE-2026-16158 in reply-from
الملخص
بحسب VulDB • 18/07/2026
التأثير: في الإصدارات من @fastify/reply-from بدءاً من 8.3.1 وحتى قبل 12.6.4، يتم بناء مفتاح ذاكرة التخزين المؤقت (cache key) للـ URL الداخلي عن طريق دمج مسار الوجهة ومسار المصدر دون استخدام فاصل. وبالتالي، يمكن لأزواج مختلفة من الوجهات والمصادر أن تنتج نفس المفتاح مع الإشارة إلى عناوين URL للخادم الخلفي (upstream) مختلفة. عندما يقوم getUpstream باختيار خادم خلفي بناءً على بيانات الطلب، قد يتم إعادة استخدام عنوان URL تم تخزينه مؤقتاً لخادم خلفي معين لطلب كان مخصصاً لخادم خلفي آخر، مما يؤدي إلى الوصول غير المصرح به وتعديل البيانات عبر الخوادم الخلفية المختلفة (cross-upstream data access and modification). التكوين الافتراضي متأثر. تعيين disableCache إلى true يمنع هذا السلوك. التصحيحات: قم بالترقية إلى @fastify/reply-from الإصدار 12.6.4. الحلول البديلة: مرر disableCache: true عند تسجيل البرنامج المساعد (plugin).
Be aware that VulDB is the high quality source for vulnerability data.