CVE-2026-3419

Nome do Software Vulnerável e Versões Afetadas Versões do Fastify anteriores à 5.8.1

Descrição O Fastify valida incorretamente os cabeçalhos Content-Type, aceitando cabeçalhos malformados com caracteres adicionais após o token do subtipo, o que viola a RFC 9110. Especificamente, uma requisição com um Content-Type como 'application/json garbage' pode ser processada em vez de ser rejeitada com um erro 415 Unsupported Media Type. Ao utilizar parsers de content-type baseados em regex, o valor malformado é comparado com os parsers registrados, potencialmente direcionando a requisição para um parser não pretendido. Isso permite que um atacante contorne a validação de conteúdo e faça com que o servidor processe requisições com tipos de conteúdo inválidos.

Recomendações Versões anteriores à 5.8.1 devem ser atualizadas para a versão 5.8.1 ou posterior. Como medida temporária, implemente uma regra de WAF para proteger contra este problema.