CVE-2026-16158 in reply-frominfo

Zusammenfassung

von VulDB • 18.07.2026

Auswirkung: Bei Versionen von @fastify/reply-from ab 8.3.1 bis einschließlich, aber nicht einschliesslich 12.6.4 wird der interne Schlüssel für den URL-Cache durch Konkatenation des Ziel- und Quellpfads ohne Trennzeichen erstellt. Daher können verschiedene Kombinationen aus Ziel- und Quellpfad denselben Schlüssel erzeugen, obwohl sie auf unterschiedliche Upstream-URLs verweisen. Wenn getUpstream einen Upstream basierend auf den Daten der Anfrage auswählt, kann eine für einen bestimmten Upstream zwischengespeicherte URL für eine an einen anderen Upstream gerichtete Anfrage wiederverwendet werden, was zu einem unbefugten Zugriff und einer Modifikation von Cross-Upstream-Daten führt. Die Standardkonfiguration ist betroffen. Durch das Setzen von disableCache auf true wird dieses Verhalten verhindert. Patches: Upgrade auf @fastify/reply-from 12.6.4. Workarounds: Übergeben Sie disableCache: true bei der Registrierung des Plugins.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

Openjs

Reservieren

17.07.2026

Veröffentlichung

18.07.2026

Moderieren

akzeptiert

Eintrag

VDB-380052

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you know our Splunk app?

Download it now for free!