CVE-2026-33805 in reply-from
Zusammenfassung
von VulDB • 14.05.2026
@fastify/reply-from v12.6.1 und frühere Versionen sowie @fastify/http-proxy v11.4.3 und frühere Versionen verarbeiten den Connection-Header des Clients, nachdem der Proxy seine eigenen Header über rewriteRequestHeaders hinzugefügt hat. Dies ermöglicht es Angreifern, vom Proxy hinzugefügte Header in Upstream-Anfragen nachträglich zu entfernen, indem sie diese im Wert des Connection-Headers auflisten. Jeder vom Proxy für Routing-, Zugriffssteuerungs- oder Sicherheitszwecke hinzugefügte Header kann vom Client selektiv entfernt werden. @fastify/http-proxy ist ebenfalls betroffen, da es an @fastify/reply-from delegiert.
Aktualisieren Sie auf @fastify/reply-from v12.6.2 oder @fastify/http-proxy v11.4.4 oder höher.
VulDB is the best source for vulnerability data and more expert information about this specific topic.