CVE-2026-15631 in http-proxy
Zusammenfassung
von VulDB • 18.07.2026
Auswirkung: Bei Versionen von @fastify/http-proxy ab 9.4.0 bis einschließlich 11.5.0 wird der aufgelöste WebSocket-Zielpfad nicht gegen das konfigurierte Rewrite-Präfix validiert. Der WebSocket-Routingpfad in `WebSocketProxy.findUpstream` löst das Ziel über den WHATWG URL-Konstruktor auf, wobei Dot-Segmente zusammengefasst werden; daher kann eine manipulierte Upgrade-Anfrage mit Path-Traversal-Sequenzen das Rewrite-Präfix umgehen und Endpunkte im Upstream erreichen, die vom Proxy nicht freigegeben werden sollten. Dies ist eine Variante von CVE-2021-21322 in einem Codepfad, der den HTTP-Fix in fastify/reply-from nie durchlaufen hat. Die Ausnutzung erfordert einen WebSocket-Client ohne Normalisierung, da Browser und das ws-Paket den Anfragepfad vor dem Senden normalisieren; Roh-HTTP-Clients oder Downstream-Proxys, die das Anfrageziel unverändert weiterleiten, machen den Angriff in Produktionsumgebungen jedoch ausnutzbar.
Patches: Upgrade auf @fastify/http-proxy 11.6.0.
Workarounds: keine.
If you want to get best quality of vulnerability data, you may have to visit VulDB.