CVE-2026-3635 in Fastifyinformación

Resumen

por VulDB • 2026-06-01

Resumen Cuando trustProxy está configurado con una función de confianza restrictiva (por ejemplo, una IP específica como trustProxy: '10.0.0.1', una subred, un recuento de saltos o una función personalizada), los getters request.protocol y request.host leen los encabezados X-Forwarded-Proto y X-Forwarded-Host de cualquier conexión, incluidas las conexiones desde IPs no confiables. Esto permite que un atacante que se conecta directamente a Fastify (eludiendo el proxy) suplante tanto el protocolo como el host que ve la aplicación.

Versiones afectadas fastify <= 5.8.2

Impacto Las aplicaciones que utilizan request.protocol o request.host para tomar decisiones de seguridad (aplicación de HTTPS, marcas de cookies seguras, verificaciones de origen CSRF, construcción de URL, enrutamiento basado en host) se ven afectadas cuando trustProxy está configurado con una función de confianza restrictiva.

Cuando trustProxy: true (confiar en todo), tanto la confianza del host como la del protocolo abarcan todos los encabezados reenviados; este es el comportamiento esperado. La vulnerabilidad solo se manifiesta con configuraciones de confianza restrictivas.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Openjs

Reservar

2026-03-06

Divulgación

2026-03-23

Moderación

aceptado

Artículo

VDB-352519

CPE

listo

CWE

CWE-348 (confirmado)

CVSS

6.1 (CNA)

EPSS

0.00012

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-3635
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-3635
CVE Details	https://www.cvedetails.com/cve/CVE-2026-3635/

◂ Anterior Visión De Conjunto Próximo ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!