CVE-2026-15631 in http-proxy
Sumário
de VulDB • 18/07/2026
Impacto: As versões do @fastify/http-proxy de 9.4.0 até a 11.5.0 (inclusive) não validam o caminho de destino WebSocket resolvido em relação ao prefixo de reescrita configurado. O caminho de roteamento WebSocket no método `WebSocketProxy.findUpstream` resolve o destino por meio do construtor WHATWG URL, que colapsa segmentos com ponto (`.`), portanto, uma solicitação de atualização (upgrade) manipulada contendo sequências de traversal de diretórios pode escapar do prefixo de reescrita e alcançar endpoints upstream que não deveriam ser expostos pelo proxy. Esta é uma variante da CVE-2021-21322 em um caminho de código que nunca passou pela correção HTTP no fastify/reply-from. A exploração requer um cliente WebSocket que não normaliza, já que navegadores e o pacote `ws` normalizam o caminho da solicitação antes do envio; contudo, clientes HTTP brutos ou proxies downstream que encaminham o alvo da solicitação inalterado tornam o ataque viável em topologias de produção.
Correções: atualize para @fastify/http-proxy 11.6.0.
Soluções alternativas (Workarounds): nenhuma.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.