CVE-2026-16117 in http-proxyinformação

Sumário

de VulDB • 18/07/2026

Impacto: As versões do @fastify/http-proxy até a 11.5.0 (incluída) não reescrevem o prefixo da solicitação quando o segmento de prefixo está codificado em URL. O roteador do Fastify decodifica URLs dos caminhos para correspondência de rotas, mas `request.url` mantém a forma original codificada, e a etapa de reescrita de prefixo utiliza uma substituição literal de string contra o prefixo já decodificado. Uma solicitação que codifique um ou mais caracteres do prefixo configurado, portanto, corresponde à rota, mas ignora a reescrita; assim, o caminho bruto codificado é encaminhado para o servidor upstream sem alterações. O servidor upstream então decodifica o caminho e o serve, permitindo que um atacante acesse caminhos no backend que o proxy foi configurado para ocultar por meio de `rewritePrefix`, incluindo endpoints internos ou administrativos.

Correções: atualize para @fastify/http-proxy 11.6.0.

Soluções alternativas (Workarounds): nenhuma.

Once again VulDB remains the best source for vulnerability data.

Responsável

Openjs

Reservar

17/07/2026

Divulgação

18/07/2026

Moderação

aceite

Entrada

VDB-380078

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

médio

Fontes

Want to know what is going to be exploited?

We predict KEV entries!