CVE-2026-16117 in http-proxyinformazioni

Riassunto

di VulDB • 18/07/2026

Impatto: Le versioni di @fastify/http-proxy fino alla 11.5.0 incluse non riescono a riscrivere il prefisso della richiesta quando il segmento del prefisso è codificato in URL. Il router di Fastify decodifica i percorsi (URL-decode) per la corrispondenza delle rotte, ma request.url mantiene la forma originale codificata e il passaggio di riscrittura del prefisso utilizza una sostituzione letterale della stringa contro il prefisso decodificato. Una richiesta che codifica uno o più caratteri del prefisso configurato corrisponde quindi alla rotta ma salta la riscrittura, per cui il percorso grezzo codificato viene inoltrato all'upstream invariato. L'upstream successivamente decodifica il percorso e lo serve, consentendo a un attaccante di raggiungere percorsi upstream che il proxy era stato configurato per nascondere tramite rewritePrefix, inclusi endpoint interni o amministrativi.

Patch: aggiornare a @fastify/http-proxy 11.6.0.

Soluzioni alternative (Workaround): nessuna.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Openjs

Prenotare

17/07/2026

Divulgazione

18/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!