CVE-2026-15631 in http-proxyinfo

Zusammenfassung

von VulDB • 18.07.2026

Auswirkung: Bei Versionen von @fastify/http-proxy ab 9.4.0 bis einschließlich 11.5.0 wird der aufgelöste WebSocket-Zielpfad nicht gegen das konfigurierte Rewrite-Präfix validiert. Der WebSocket-Routingpfad in `WebSocketProxy.findUpstream` löst das Ziel über den WHATWG URL-Konstruktor auf, wobei Dot-Segmente zusammengefasst werden; daher kann eine manipulierte Upgrade-Anfrage mit Path-Traversal-Sequenzen das Rewrite-Präfix umgehen und Endpunkte im Upstream erreichen, die vom Proxy nicht freigegeben werden sollten. Dies ist eine Variante von CVE-2021-21322 in einem Codepfad, der den HTTP-Fix in fastify/reply-from nie durchlaufen hat. Die Ausnutzung erfordert einen WebSocket-Client ohne Normalisierung, da Browser und das ws-Paket den Anfragepfad vor dem Senden normalisieren; Roh-HTTP-Clients oder Downstream-Proxys, die das Anfrageziel unverändert weiterleiten, machen den Angriff in Produktionsumgebungen jedoch ausnutzbar.

Patches: Upgrade auf @fastify/http-proxy 11.6.0.

Workarounds: keine.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

Openjs

Reservieren

13.07.2026

Veröffentlichung

18.07.2026

Moderieren

akzeptiert

Eintrag

VDB-380055

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!