CVE-2026-15631 in http-proxyinformação

Sumário

de VulDB • 18/07/2026

Impacto: As versões do @fastify/http-proxy de 9.4.0 até a 11.5.0 (inclusive) não validam o caminho de destino WebSocket resolvido em relação ao prefixo de reescrita configurado. O caminho de roteamento WebSocket no método `WebSocketProxy.findUpstream` resolve o destino por meio do construtor WHATWG URL, que colapsa segmentos com ponto (`.`), portanto, uma solicitação de atualização (upgrade) manipulada contendo sequências de traversal de diretórios pode escapar do prefixo de reescrita e alcançar endpoints upstream que não deveriam ser expostos pelo proxy. Esta é uma variante da CVE-2021-21322 em um caminho de código que nunca passou pela correção HTTP no fastify/reply-from. A exploração requer um cliente WebSocket que não normaliza, já que navegadores e o pacote `ws` normalizam o caminho da solicitação antes do envio; contudo, clientes HTTP brutos ou proxies downstream que encaminham o alvo da solicitação inalterado tornam o ataque viável em topologias de produção.

Correções: atualize para @fastify/http-proxy 11.6.0.

Soluções alternativas (Workarounds): nenhuma.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

Openjs

Reservar

13/07/2026

Divulgação

18/07/2026

Moderação

aceite

Entrada

VDB-380055

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!