CVE-2026-13676

Nome do Software Vulnerável e Versões Afetadas fast-uri versões 2.3.1 até 3.1.2 fast-uri versão 4.0.0

Descrição O software falha ao canonicalizar nomes de domínio internacionalizados (IDN) em Unicode para URLs da família HTTP. Isso ocorre porque o caminho de conversão IDN utiliza um auxiliar inexistente no construtor global de URL, fazendo com que o host permaneça em sua forma original em Unicode. Consequentemente, as funções normalize() e equal() retornam valores que diferem de um analisador de URL compatível com WHATWG. Isso pode levar a uma confusão de host, permitindo que atacantes ignorem políticas baseadas em host, como listas de negação, filtragem de loopback, validação de redirecionamento ou roteamento de proxy de saída, quando a aplicação utiliza o fast-uri para validação, mas passa a URL para o URL do Node ou fetch para a requisição real.

Recomendações Atualize para a versão 3.1.3 para a linha 3.x. Atualize para a versão 4.0.1 para a linha 4.x. Aplique a política de host utilizando o mesmo analisador de URL usado para a requisição real. Rejeite hosts não-ASCII antes de realizar as verificações de política.