VDB-352519 · CVE-2026-3635 · GHSA-444r-cwp2-x5xf

Fastify 迄 5.8.2 request.protocol/request.host X-Forwarded-Proto/X-Forwarded-Host 情報漏えい

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
4.5	$0-$5k	0.00

要約情報

脆弱性が Fastify 迄 5.8.2 内に見つかりました。この脆弱性は問題があるとして分類されました。この問題により影響を受けるのは、関数【request.protocol/request.host】です。【X-Forwarded-Proto/X-Forwarded-Host】引数を未知の値で改ざんすることが、情報漏えいを突く攻撃に繋がります}。この脆弱性は CVE-2026-3635 として知られています。攻撃するにはローカルネットワーク内からのアプローチが必要です。影響を受けたコンポーネントのアップグレードを推奨します。

詳細情報

脆弱性が Fastify 迄 5.8.2 内に見つかりました。この脆弱性は問題があるとして分類されました。この問題により影響を受けるのは、関数【request.protocol/request.host】です。【X-Forwarded-Proto/X-Forwarded-Host】引数を未知の値で改ざんすることが、情報漏えいを突く攻撃に繋がります}。問題をCWEで宣言すると、CWE-348 になります。この脆弱性は公開されましたとしてGHSA-444r-cwp2-x5xf。アドバイザリーは github.com にてダウンロード用に公開されています。

この脆弱性は CVE-2026-3635 として知られています。 CVEの割り当ては 2026年03月06日に行われました。攻撃するにはローカルネットワーク内からのアプローチが必要です。技術的詳細情報が入手可能です。攻撃の実行には高い複雑性が求められます。エクスプロイトの実行が困難であると報告されています。この脆弱性の一般的な利用度は平均を下回っています。現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。

未定義であると宣言されています。】のプラグインを提供しています。

5.8.3にアップグレードすることで、本問題を解消できます。影響を受けたコンポーネントのアップグレードを推奨します。