CVE-2026-15631 in http-proxy情報

要約

〜によって VulDB • 2026年07月18日

影響範囲: `@fastify/http-proxy` のバージョン9.4.0から11.5.0(含む)まででは、解決されたWebSocket宛先パスが設定された書き換えプレフィックスに対して検証されません。`WebSocketProxy.findUpstream` 内のWebSocketルーティングパスは、WHATWG URLコンストラクタを介して宛先を解決しますが、この処理ではドットセグメントが折りたたまれるため、パストラバーサルシーケンスを含む改ざんされたアップグレードリクエストにより書き換えプレフィックスから脱出し、プロキシによって公開されるべきではない上位エンドポイントに到達することが可能です。これは `fastify/reply-from` のHTTP修正を経由していないコードパスにおけるCVE-2021-21322のバリアントです。ブラウザや `ws` パッケージはリクエスト送信前にリクエストパスを正規化するため、攻撃には非正規化するWebSocketクライアントが必要ですが、リクエストターゲットを変更せずに転送する生のHTTPクライアントまたはダウンストリームプロキシが存在する場合、本番環境のトポロジーにおいて攻撃が実現可能となります。

パッチ: `@fastify/http-proxy` 11.6.0にアップグレードしてください。

回避策: なし。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

Openjs

予約する

2026年07月13日

モデレーション

承諾済み

エントリ

VDB-380055

EPSS

0.00000

アクティビティ

低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!