CVE-2026-33805

Nome do Software Vulnerável e Versões Afetadas @fastify/reply-from versões anteriores a 12.6.2 @fastify/http-proxy versões anteriores a 11.4.4

Description Uma falha de lógica no pipeline de processamento de cabeçalhos do framework Fastify para Node.js permite que atacantes remotos não autenticados ignorem controles de segurança. O problema ocorre porque a função rewriteRequestHeaders() processa o cabeçalho Connection do cliente após o proxy ter adicionado seus próprios cabeçalhos. Isso permite que um invasor remova retroativamente cabeçalhos adicionados pelo proxy para fins de roteamento, controle de acesso ou segurança, listando-os no valor do cabeçalho Connection. Isso pode levar à modificação não autorizada de informações protegidas ou à evasão de mecanismos de identificação e autorização do proxy.

Recommendations Atualize o @fastify/reply-from para a versão 12.6.2 ou posterior. Atualize o @fastify/http-proxy para a versão 11.4.4 ou posterior.