Kaka

**Nome do Software Vulnerável e Versões Afetadas** fast-uri versões anteriores a 3.1.2 **Descrição** A função `normalize()` decodificava delimitadores de autoridade percent-encoded dentro do componente de host e os reemitia como delimitadores brutos durante a serialização. Isso permite que um host que combine um domínio permitido, um sinal de arroba codificado e um domínio diferente seja reemitido com o sinal de arroba como um separador de userinfo bruto, alterando a autoridade da URI para o segundo domínio. Aplicativos que normalizam URLs não confiáveis antes de verificações de allowlist de host, validação de redirecionamento ou roteamento de requisições externas podem ser direcionados para uma autoridade diferente da especificada na entrada. **Recomendações** Atualize para a versão 3.1.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** fast-uri versões anteriores a 3.1.1 **Descrição** As funções `normalize()` e `equal()` decodificam separadores de caminho e segmentos de ponto percentualmente codificados antes de aplicar a remoção de segmentos de ponto. Isso faz com que dados de caminho codificados sejam tratados como barras reais e referências a diretórios pai, permitindo que URIs distintas colapsem no mesmo caminho normalizado. Consequentemente, aplicações que utilizam essas funções para impor políticas baseadas em caminho em URLs controladas por atacantes podem ser burladas, pois um caminho que parece confinado sob um prefixo permitido pode ser normalizado para um local diferente. **Recomendações** Atualize para a versão 3.1.1 ou posterior.

**Name of the Vulnerable Software and Affected Versions** fastify versions through 5.8.2 **Description** When the `trustProxy` setting is configured with a restrictive trust function—such as a specific IP address, a subnet, a hop count, or a custom function—the `request.protocol` and `request.host` getters incorrectly read `X-Forwarded-Proto` and `X-Forwarded-Host` headers from all connections, including those from untrusted sources. This allows an attacker connecting directly to Fastify, bypassing the proxy, to manipulate both the protocol and host as seen by the application. This issue only occurs when `trustProxy` is not set to `true`, which trusts all forwarded headers. Applications relying on `request.protocol` or `request.host` for security-sensitive operations—like HTTPS enforcement, secure cookie flags, CSRF origin checks, URL construction, or host-based routing—are susceptible to attack when using a restrictive `trustProxy` configuration. **Recommendations** fastify versions through 5.8.2 should not use a restrictive `trustProxy` configuration. If a proxy is not used, do not configure `trustProxy`. If a proxy is used, set `trustProxy` to `true` to trust all forwarded headers, or configure a custom trust function that accurately identifies trusted proxy IPs.