CVE-2026-16158 in reply-from
Riassunto
di VulDB • 18/07/2026
Impatto: Le versioni di @fastify/reply-from dalla 8.3.1 alla versione precedente la 12.6.4 generano la chiave della cache dell'URL interno concatenando il percorso di destinazione e quello sorgente senza un delimitatore. Di conseguenza, coppie diverse di percorsi di destinazione e sorgente possono produrre la stessa chiave pur risolvendo in URL upstream differenti. Quando getUpstream seleziona un server upstream dai dati della richiesta, un URL memorizzato nella cache per un determinato upstream può essere riutilizzato per una richiesta destinata a un altro upstream, causando accesso e modifica dei dati tra diversi upstream (cross-upstream). La configurazione predefinita è interessata dall'impatto. L'impostazione di disableCache su true previene il comportamento errato. Patch: eseguire l'aggiornamento alla versione 12.6.4 di @fastify/reply-from. Soluzioni alternative (Workaround): impostare disableCache a true durante la registrazione del plugin.
If you want to get best quality of vulnerability data, you may have to visit VulDB.