Fastify · Fastify · CVE-2022-39288
**Nome do software vulnerável e versões afetadas**
Versões do fastify de 4.0.0 a 4.8.0
**Descrição**
A vulnerabilidade permite que um invasor envie um cabeçalho `Content-Type` inválido, o que pode causar a falha da aplicação e resultar em um ataque de negação de serviço. Estima-se que um número significativo de dispositivos que utilizam a estrutura fastify possa estar afetado.
**Recomendações**
Para as versões do fastify 4.0.0 a 4.8.0, atualize para a versão 4.8.1 ou posterior para resolver o problema.
Como solução temporária, considere adicionar um hook para rejeitar tipos de conteúdo maliciosos antes que o analisador de corpo entre em ação, usando código como:
```js
const badNames = Object.getOwnPropertyNames({}. proto )
fastify.addHook(‘onRequest’, async (req, reply) => {
for (const badName of badNames) {
if (req.headers[‘content-type’].indexOf(badName) > -1) {
reply.code(415)
throw new Error(‘Tipo de conteúdo não suportado’)
}
}
})
```