Fastify · Fastify · CVE-2026-3419
**Nome do Software Vulnerável e Versões Afetadas**
Versões do Fastify anteriores à 5.8.1
**Descrição**
O Fastify valida incorretamente os cabeçalhos `Content-Type`, aceitando cabeçalhos malformados com caracteres adicionais após o token do subtipo, o que viola a RFC 9110. Especificamente, uma requisição com um `Content-Type` como 'application/json garbage' pode ser processada em vez de ser rejeitada com um erro 415 Unsupported Media Type. Ao utilizar parsers de content-type baseados em regex, o valor malformado é comparado com os parsers registrados, potencialmente direcionando a requisição para um parser não pretendido. Isso permite que um atacante contorne a validação de conteúdo e faça com que o servidor processe requisições com tipos de conteúdo inválidos.
**Recomendações**
Versões anteriores à 5.8.1 devem ser atualizadas para a versão 5.8.1 ou posterior.
Como medida temporária, implemente uma regra de WAF para proteger contra este problema.