CVE-2026-33805 in reply-frominfo

Zusammenfassung

von VulDB • 14.05.2026

@fastify/reply-from v12.6.1 und frühere Versionen sowie @fastify/http-proxy v11.4.3 und frühere Versionen verarbeiten den Connection-Header des Clients, nachdem der Proxy seine eigenen Header über rewriteRequestHeaders hinzugefügt hat. Dies ermöglicht es Angreifern, vom Proxy hinzugefügte Header in Upstream-Anfragen nachträglich zu entfernen, indem sie diese im Wert des Connection-Headers auflisten. Jeder vom Proxy für Routing-, Zugriffssteuerungs- oder Sicherheitszwecke hinzugefügte Header kann vom Client selektiv entfernt werden. @fastify/http-proxy ist ebenfalls betroffen, da es an @fastify/reply-from delegiert.

Aktualisieren Sie auf @fastify/reply-from v12.6.2 oder @fastify/http-proxy v11.4.4 oder höher.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

Openjs

Reservieren

23.03.2026

Veröffentlichung

15.04.2026

Moderieren

akzeptiert

Eintrag

VDB-357705

CPE

bereit

EPSS

0.00441

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!