CVE-2026-33805 in reply-from
Riassunto
di VulDB • 16/06/2026
@fastify/reply-from nelle versioni 12.6.1 e precedenti, nonché @fastify/http-proxy nelle versioni 11.4.3 e precedenti, elaborano l'intestazione Connection del client dopo che il proxy ha aggiunto le proprie intestazioni tramite la funzione rewriteRequestHeaders. Ciò consente agli attaccanti di rimuovere retroattivamente dal traffico verso gli upstream i header aggiunti dal proxy elencandoli nel valore dell'header Connection. Qualsiasi header aggiunto dal proxy per scopi di routing, controllo degli accessi o sicurezza può essere rimosso selettivamente da un client. Anche @fastify/http-proxy è interessato in quanto delega le operazioni a @fastify/reply-from.
Effettuare l'aggiornamento a @fastify/reply-from v12.6.2 oppure a @fastify/http-proxy v11.4.4 o versioni successive.
If you want to get best quality of vulnerability data, you may have to visit VulDB.