CVE-2026-16158 in reply-fromالمعلومات

الملخص

بحسب VulDB • 18/07/2026

التأثير: في الإصدارات من @fastify/reply-from بدءاً من 8.3.1 وحتى قبل 12.6.4، يتم بناء مفتاح ذاكرة التخزين المؤقت (cache key) للـ URL الداخلي عن طريق دمج مسار الوجهة ومسار المصدر دون استخدام فاصل. وبالتالي، يمكن لأزواج مختلفة من الوجهات والمصادر أن تنتج نفس المفتاح مع الإشارة إلى عناوين URL للخادم الخلفي (upstream) مختلفة. عندما يقوم getUpstream باختيار خادم خلفي بناءً على بيانات الطلب، قد يتم إعادة استخدام عنوان URL تم تخزينه مؤقتاً لخادم خلفي معين لطلب كان مخصصاً لخادم خلفي آخر، مما يؤدي إلى الوصول غير المصرح به وتعديل البيانات عبر الخوادم الخلفية المختلفة (cross-upstream data access and modification). التكوين الافتراضي متأثر. تعيين disableCache إلى true يمنع هذا السلوك. التصحيحات: قم بالترقية إلى @fastify/reply-from الإصدار 12.6.4. الحلول البديلة: مرر disableCache: true عند تسجيل البرنامج المساعد (plugin).

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

Openjs

حجز

17/07/2026

إفشاء

18/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-380052

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!