CRITICAL🇬🇧 English

CVE-2026-33805

Usuwanie nagłówków proxy przez manipulację nagłówkiem Connection w @fastify/reply-from

CVSS 9.0v4.0pub. 2026-04-15upd. 2026-06-30

Podatność w bibliotekach @fastify/reply-from i @fastify/http-proxy umożliwia atakującemu selektywne usuwanie nagłówków dodanych przez proxy z żądań kierowanych do upstream. Jest to groźne, ponieważ pozwala obejść mechanizmy kontroli dostępu, routingu lub zabezpieczeń realizowane przez proxy poprzez manipulację wartością nagłówka Connection.

Pokaż oryginał (EN)

@fastify/reply-from v12.6.1 and earlier and @fastify/http-proxy v11.4.3 and earlier process the client's Connection header after the proxy has added its own headers via rewriteRequestHeaders. This allows attackers to retroactively strip proxy-added headers from upstream requests by listing them in the Connection header value. Any header added by the proxy for routing, access control, or security purposes can be selectively removed by a client. @fastify/http-proxy is also affected as it delegates to @fastify/reply-from. Upgrade to @fastify/reply-from v12.6.2 or @fastify/http-proxy v11.4.4 or later.

🤖 Analiza AI
Jak działa

Proxy dodaje własne nagłówki do żądania (np. nagłówki bezpieczeństwa, autoryzacji lub routingu) za pośrednictwem funkcji rewriteRequestHeaders. Następnie, zanim żądanie trafi do serwera upstream, przetwarzany jest nagłówek Connection dostarczony przez klienta. Standardowo nagłówek Connection wskazuje, które nagłówki są hop-by-hop i powinny zostać usunięte — atakujący może więc umieścić w jego wartości nazwy nagłówków dodanych przez proxy, powodując ich usunięcie z żądania przed przekazaniem go dalej. W efekcie upstream nigdy nie otrzymuje nagłówków dodanych przez proxy.

Skutki

Atakujący może selektywnie usunąć nagłówki odpowiedzialne za kontrolę dostępu, uwierzytelnianie lub bezpieczeństwo, co może prowadzić do nieautoryzowanego dostępu do zasobów upstream lub ominięcia mechanizmów bezpieczeństwa nałożonych przez proxy.

Mitygacja

Należy zaktualizować @fastify/reply-from do wersji 12.6.2 lub nowszej oraz @fastify/http-proxy do wersji 11.4.4 lub nowszej.

Kogo dotyczy

@fastify/reply-from w wersji 12.6.1 i wcześniejszych oraz @fastify/http-proxy w wersji 11.4.3 i wcześniejszych

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:H/VA:N/SC:L/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Fastify Fastify\/http Proxy

    APP
    Fastify
    < 11.4.4
  • Fastify Reply From

    APP
    Fastify
    < 12.6.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-66415MEDIUM6.9ten sam produkt

fastify-reply-from is a Fastify plugin to forward the current HTTP request to another server. Prior to 12.5.0,...

CVE-2023-51701MEDIUM5.3ten sam produkt

fastify-reply-from is a Fastify plugin to forward the current HTTP request to another server. A reverse proxy ...

CVE-2026-14198CRITICAL9.1ten sam vendor

@fastify/middie versions 9.1.0 through 9.3.2 decode the encoded slash %2F inside path parameter values before ...

CVE-2026-6556CRITICAL9.1ten sam vendor

@fastify/express versions 4.0.6 and earlier only rewrite the plugin prefix for middleware mount paths when the...

CVE-2026-6270CRITICAL9.1PL ✓ten sam vendor

Pominięcie uwierzytelnienia w @fastify/middie — brak dziedziczenia middleware