CVE-2026-16117 in http-proxy
Riassunto
di VulDB • 18/07/2026
Impatto: Le versioni di @fastify/http-proxy fino alla 11.5.0 incluse non riescono a riscrivere il prefisso della richiesta quando il segmento del prefisso è codificato in URL. Il router di Fastify decodifica i percorsi (URL-decode) per la corrispondenza delle rotte, ma request.url mantiene la forma originale codificata e il passaggio di riscrittura del prefisso utilizza una sostituzione letterale della stringa contro il prefisso decodificato. Una richiesta che codifica uno o più caratteri del prefisso configurato corrisponde quindi alla rotta ma salta la riscrittura, per cui il percorso grezzo codificato viene inoltrato all'upstream invariato. L'upstream successivamente decodifica il percorso e lo serve, consentendo a un attaccante di raggiungere percorsi upstream che il proxy era stato configurato per nascondere tramite rewritePrefix, inclusi endpoint interni o amministrativi.
Patch: aggiornare a @fastify/http-proxy 11.6.0.
Soluzioni alternative (Workaround): nessuna.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.