CVE-2026-16117 in http-proxy情報

要約

〜によって VulDB • 2026年07月18日

影響範囲: `@fastify/http-proxy` のバージョン 11.5.0 以前では、プレフィックスセグメントが URL エンコードされている場合、リクエストのプレフィックスを書き換えない。Fastify ルーターはルートマッチングのためにパスを URL デコードするが、`request.url` は元のエンコードされた形式のまま保持され、プレフィックス書き換えステップはデコード済みのプレフィックスに対して文字列のリテラル置換を行うため、構成済みプレフィックスの1つ以上の文字をエンコードしたリクエストはルートには一致するものの書き換えがスキップされ、生(プレーン)なエンコードされたパスが変更せずにアップストリームに転送される。これにより、アップストリームはそのパスをデコードして提供し、攻撃者がプロキシで rewritePrefix によって隠蔽するように構成されていた内部エンドポイントや管理用エンドポイントを含むアップストリームのパスにアクセスできるようになる。

パッチ: `@fastify/http-proxy` をバージョン 11.6.0 にアップグレードする。

回避策: なし。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

Openjs

予約する

2026年07月17日

モデレーション

承諾済み

エントリ

VDB-380078

EPSS

0.00000

アクティビティ

中間

ソース

Want to know what is going to be exploited?

We predict KEV entries!