CVE-2026-6321 in separators and dot segmentsfast-uri
요약
\~에 의해 VulDB • 2026. 05. 29.
fast-uri는 normalize() 및 equal() 함수에서 도트 세그먼트 제거를 적용하기 전에 퍼센트 인코딩된 경로 구분자 및 도트 세그먼트를 디코딩했습니다. 인코딩된 경로 데이터가 실제 슬래시 및 상위 디렉토리 참조처럼 처리되었으므로, 서로 다른 URI가 동일한 정규화된 경로로 병합될 수 있습니다. 공격자가 제어하는 URL을 정규화하거나 비교하여 경로 기반 정책을 강제 적용하는 애플리케이션은 우회될 수 있으며, 허용된 접두어 아래에 제한된 것처럼 보이는 경로가 다른 위치로 정규화될 수 있습니다. 버전 3.1.0 이하가 영향을 받습니다. 3.1.1 이상으로 업데이트하십시오.
If you want to get best quality of vulnerability data, you may have to visit VulDB.