PT-2026-60961 · Npm · Fastify-Http-Proxy

·

CVE-2026-16117

·

Publicado

2026-07-18

·

Atualizado

2026-07-18

CVSS v3.1

10

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas @fastify/http-proxy versões anteriores a 11.6.0
Description Existe um problema de normalização inadequada de entrada onde o software falha ao reescrever o prefixo da requisição quando o segmento do prefixo está codificado em URL. Enquanto o roteador decodifica as URLs para a correspondência de rotas, o request.url mantém a forma codificada original, e o processo de reescrita utiliza uma substituição de string literal contra o prefixo decodificado. Essa divergência de codificação permite que um invasor remoto envie requisições com caracteres codificados em URL no prefixo configurado, fazendo com que o proxy corresponda à rota, mas ignore a reescrita. Consequentemente, o caminho codificado bruto é encaminhado para o servidor upstream, que então decodifica o caminho e o processa. Isso leva a um bypass completo do caminho do proxy, expondo endpoints internos ou administrativos que deveriam estar ocultos via a configuração rewritePrefix, podendo resultar em ações administrativas não autorizadas e exposição de dados sensíveis.
Recommendations Atualizar para a versão 11.6.0 do @fastify/http-proxy.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-16117

Produtos afetados

Fastify-Http-Proxy