CVE-2026-6322

Nome do Software Vulnerável e Versões Afetadas fast-uri versões anteriores a 3.1.2

Descrição A função normalize() decodificava delimitadores de autoridade percent-encoded dentro do componente de host e os reemitia como delimitadores brutos durante a serialização. Isso permite que um host que combine um domínio permitido, um sinal de arroba codificado e um domínio diferente seja reemitido com o sinal de arroba como um separador de userinfo bruto, alterando a autoridade da URI para o segundo domínio. Aplicativos que normalizam URLs não confiáveis antes de verificações de allowlist de host, validação de redirecionamento ou roteamento de requisições externas podem ser direcionados para uma autoridade diferente da especificada na entrada.

Recomendações Atualize para a versão 3.1.2 ou posterior.