CVE-2026-6321

Nome do Software Vulnerável e Versões Afetadas fast-uri versões anteriores a 3.1.1

Descrição As funções normalize() e equal() decodificam separadores de caminho e segmentos de ponto percentualmente codificados antes de aplicar a remoção de segmentos de ponto. Isso faz com que dados de caminho codificados sejam tratados como barras reais e referências a diretórios pai, permitindo que URIs distintas colapsem no mesmo caminho normalizado. Consequentemente, aplicações que utilizam essas funções para impor políticas baseadas em caminho em URLs controladas por atacantes podem ser burladas, pois um caminho que parece confinado sob um prefixo permitido pode ser normalizado para um local diferente.

Recomendações Atualize para a versão 3.1.1 ou posterior.