CVE-2026-16158 in reply-frominformação

Sumário

de VulDB • 18/07/2026

Impacto: As versões do pacote @fastify/reply-from a partir da 8.3.1 até, mas não incluindo, a 12.6.4 constroem a chave de cache de URL interna concatenando o caminho de destino e o caminho de origem sem um delimitador. Portanto, pares diferentes de destino e origem podem gerar a mesma chave enquanto resolvem para URLs upstream distintos. Quando getUpstream seleciona um servidor upstream com base nos dados da solicitação, uma URL armazenada em cache para um determinado upstream pode ser reutilizada para uma solicitação destinada a outro upstream, causando acesso e modificação cruzados de dados entre upstreams. A configuração padrão é afetada. Definir disableCache como true impede esse comportamento. Correções: atualize para @fastify/reply-from 12.6.4. Contornar o problema (Workaround): passe disableCache: true ao registrar o plugin.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

Openjs

Reservar

17/07/2026

Divulgação

18/07/2026

Moderação

aceite

Entrada

VDB-380052

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!