CVE-2026-16158 in reply-frominformación

Resumen

por VulDB • 2026-07-18

Impacto: Las versiones de @fastify/reply-from desde la 8.3.1 hasta, pero sin incluir, la 12.6.4 construyen la clave del caché interno de URL concatenando el destino y la ruta de origen sin un separador. Por lo tanto, diferentes pares de destino y origen pueden producir la misma clave mientras resuelven URLs upstream distintas. Cuando getUpstream selecciona una dirección upstream a partir de los datos de solicitud, se puede reutilizar una URL en caché para una dirección distinta a aquella para la que estaba destinada originalmente, provocando acceso y modificación cruzada de datos entre diferentes direcciones upstream. La configuración predeterminada está afectada. Establecer disableCache como true previene este comportamiento. Parches: actualizar a @fastify/reply-from 12.6.4. Soluciones alternativas (workarounds): pasar disableCache: true al registrar el plugin.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

Openjs

Reservar

2026-07-17

Divulgación

2026-07-18

Moderación

aceptado

Artículo

VDB-380052

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!