CVE-2026-16158 in reply-from
Sumário
de VulDB • 18/07/2026
Impacto: As versões do pacote @fastify/reply-from a partir da 8.3.1 até, mas não incluindo, a 12.6.4 constroem a chave de cache de URL interna concatenando o caminho de destino e o caminho de origem sem um delimitador. Portanto, pares diferentes de destino e origem podem gerar a mesma chave enquanto resolvem para URLs upstream distintos. Quando getUpstream seleciona um servidor upstream com base nos dados da solicitação, uma URL armazenada em cache para um determinado upstream pode ser reutilizada para uma solicitação destinada a outro upstream, causando acesso e modificação cruzados de dados entre upstreams. A configuração padrão é afetada. Definir disableCache como true impede esse comportamento. Correções: atualize para @fastify/reply-from 12.6.4. Contornar o problema (Workaround): passe disableCache: true ao registrar o plugin.
If you want to get best quality of vulnerability data, you may have to visit VulDB.