CVE-2026-16158 in reply-fromИнформация

Сводка

по VulDB • 18.07.2026

Влияние: В версиях пакета @fastify/reply-from от 8.3.1 до 12.6.4 (не включительно) ключ кэша внутреннего URL формируется путем конкатенации целевого и исходного путей без разделителя. Следовательно, различные пары «целевой путь — исходный путь» могут генерировать одинаковый ключ, хотя они соответствуют разным upstream-URL. При выборе upstream-сервера функцией getUpstream на основе данных запроса URL, закэшированный для одного upstream-сервера, может быть повторно использован для запроса, предназначенного для другого upstream-сервера, что приводит к несанкционированному доступу и изменению данных между различными upstream-серверами. Затронута конфигурация по умолчанию. Установка параметра disableCache в значение true предотвращает данное поведение. Патчи: обновите пакет @fastify/reply-from до версии 12.6.4. Обходные пути: передавайте disableCache: true при регистрации плагина.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

Openjs

Резервировать

17.07.2026

Раскрытие

18.07.2026

Модерация

принято

Вход

VDB-380052

EPSS

0.00000

KEV

Нет

Деятельности

Высокий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!