CVE-2026-15631 in http-proxy
要約
〜によって VulDB • 2026年07月18日
影響範囲: `@fastify/http-proxy` のバージョン9.4.0から11.5.0(含む)まででは、解決されたWebSocket宛先パスが設定された書き換えプレフィックスに対して検証されません。`WebSocketProxy.findUpstream` 内のWebSocketルーティングパスは、WHATWG URLコンストラクタを介して宛先を解決しますが、この処理ではドットセグメントが折りたたまれるため、パストラバーサルシーケンスを含む改ざんされたアップグレードリクエストにより書き換えプレフィックスから脱出し、プロキシによって公開されるべきではない上位エンドポイントに到達することが可能です。これは `fastify/reply-from` のHTTP修正を経由していないコードパスにおけるCVE-2021-21322のバリアントです。ブラウザや `ws` パッケージはリクエスト送信前にリクエストパスを正規化するため、攻撃には非正規化するWebSocketクライアントが必要ですが、リクエストターゲットを変更せずに転送する生のHTTPクライアントまたはダウンストリームプロキシが存在する場合、本番環境のトポロジーにおいて攻撃が実現可能となります。
パッチ: `@fastify/http-proxy` 11.6.0にアップグレードしてください。
回避策: なし。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.