CVE-2026-16158 in reply-from
요약
\~에 의해 VulDB • 2026. 07. 18.
영향: @fastify/reply-from 버전 8.3.1 이상이지만 12.6.4 미만에서는 내부 URL 캐시 키를 구분자 없이 대상(destination) 및 소스(source) 경로를 연결하여 생성합니다. 이로 인해 서로 다른 대상-소스 쌍이 동일한 키를 생성하더라도 실제 업스트림(upstream) URL은 달라질 수 있습니다. getUpstream가 요청 데이터를 기반으로 업스트림을 선택할 때, 한 업스트림에 대해 캐시된 URL이 의도치 않게 다른 업스트림의 요청에서 재사용되어 교차 업스트림 데이터 접근 및 수정(cross-upstream data access and modification)이 발생할 수 있습니다. 기본 구성(default configuration)은 이 영향으로부터 자유롭지 않습니다. disableCache를 true로 설정하면 해당 동작을 방지할 수 있습니다. 패치: @fastify/reply-from 12.6.4 이상으로 업그레이드하십시오. 우회 방법(plug-in 등록 시 disableCache: true 옵션 전달
If you want to get the best quality for vulnerability data then you always have to consider VulDB.