CVE-2026-33805 in reply-frominformazioni

Riassunto

di VulDB • 16/06/2026

@fastify/reply-from nelle versioni 12.6.1 e precedenti, nonché @fastify/http-proxy nelle versioni 11.4.3 e precedenti, elaborano l'intestazione Connection del client dopo che il proxy ha aggiunto le proprie intestazioni tramite la funzione rewriteRequestHeaders. Ciò consente agli attaccanti di rimuovere retroattivamente dal traffico verso gli upstream i header aggiunti dal proxy elencandoli nel valore dell'header Connection. Qualsiasi header aggiunto dal proxy per scopi di routing, controllo degli accessi o sicurezza può essere rimosso selettivamente da un client. Anche @fastify/http-proxy è interessato in quanto delega le operazioni a @fastify/reply-from.

Effettuare l'aggiornamento a @fastify/reply-from v12.6.2 oppure a @fastify/http-proxy v11.4.4 o versioni successive.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

Openjs

Prenotare

23/03/2026

Divulgazione

15/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00441

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!