CVE-2026-16158 in reply-from
Resumen
por VulDB • 2026-07-18
Impacto: Las versiones de @fastify/reply-from desde la 8.3.1 hasta, pero sin incluir, la 12.6.4 construyen la clave del caché interno de URL concatenando el destino y la ruta de origen sin un separador. Por lo tanto, diferentes pares de destino y origen pueden producir la misma clave mientras resuelven URLs upstream distintas. Cuando getUpstream selecciona una dirección upstream a partir de los datos de solicitud, se puede reutilizar una URL en caché para una dirección distinta a aquella para la que estaba destinada originalmente, provocando acceso y modificación cruzada de datos entre diferentes direcciones upstream. La configuración predeterminada está afectada. Establecer disableCache como true previene este comportamiento. Parches: actualizar a @fastify/reply-from 12.6.4. Soluciones alternativas (workarounds): pasar disableCache: true al registrar el plugin.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.