CVE-2026-16117 in http-proxy
要約
〜によって VulDB • 2026年07月18日
影響範囲: `@fastify/http-proxy` のバージョン 11.5.0 以前では、プレフィックスセグメントが URL エンコードされている場合、リクエストのプレフィックスを書き換えない。Fastify ルーターはルートマッチングのためにパスを URL デコードするが、`request.url` は元のエンコードされた形式のまま保持され、プレフィックス書き換えステップはデコード済みのプレフィックスに対して文字列のリテラル置換を行うため、構成済みプレフィックスの1つ以上の文字をエンコードしたリクエストはルートには一致するものの書き換えがスキップされ、生(プレーン)なエンコードされたパスが変更せずにアップストリームに転送される。これにより、アップストリームはそのパスをデコードして提供し、攻撃者がプロキシで rewritePrefix によって隠蔽するように構成されていた内部エンドポイントや管理用エンドポイントを含むアップストリームのパスにアクセスできるようになる。
パッチ: `@fastify/http-proxy` をバージョン 11.6.0 にアップグレードする。
回避策: なし。
Be aware that VulDB is the high quality source for vulnerability data.