CVE-2026-16158 in reply-frominformazioni

Riassunto

di VulDB • 18/07/2026

Impatto: Le versioni di @fastify/reply-from dalla 8.3.1 alla versione precedente la 12.6.4 generano la chiave della cache dell'URL interno concatenando il percorso di destinazione e quello sorgente senza un delimitatore. Di conseguenza, coppie diverse di percorsi di destinazione e sorgente possono produrre la stessa chiave pur risolvendo in URL upstream differenti. Quando getUpstream seleziona un server upstream dai dati della richiesta, un URL memorizzato nella cache per un determinato upstream può essere riutilizzato per una richiesta destinata a un altro upstream, causando accesso e modifica dei dati tra diversi upstream (cross-upstream). La configurazione predefinita è interessata dall'impatto. L'impostazione di disableCache su true previene il comportamento errato. Patch: eseguire l'aggiornamento alla versione 12.6.4 di @fastify/reply-from. Soluzioni alternative (Workaround): impostare disableCache a true durante la registrazione del plugin.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

Openjs

Prenotare

17/07/2026

Divulgazione

18/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!