Fastify›Приложениеanchore_overrides,nvd

Fastify

Уязвимости

Эксплуатируемые

Макс. CVSS

8.8

Макс. EPSS

0.59244

Распределение по критичности

Критический

Высокий

Средний

Низкий

Затронутые диапазоны версий

1.0.42–2.6.303.0.0–3.29.45.0.0–5.3.25.3.2–5.8.55.7.2–5.8.1< 0.38.0< 4.8.1< 5.7.2< 5.7.3< 5.8.3

Также сопоставлено как (исходные строки): fastify

Топ уязвимостей

CVE-2022-41919Fastify — это веб-фреймворк с минимальными накладными расходами и архитектурой плагинов. Злоумышленник может использовать неверный `Content-Type`, чтобы обойти проверку `Pre-Flight` для `fetch`. Запросы `fetch()` с сутью Content-Type как "application/x-www-form-urlencoded", "multipart/form-data" или "text/plain" потенциально могут использоваться для вызова маршрутов, которые принимают только тип содержимого `application/json`, таким образом обходя любую защиту CORS и, следовательно, могут привести к атаке Cross-Site Request Forgery. Эта проблема была исправлена в версиях 4.10.2 и 3.29.4. В качестве обходного пути реализуйте защиту Cross-Site Request Forgery с помощью `@fastify/csrf`.

CVE-2026-42349Clerk JavaScript - это официальный хранилище JavaScript для аутентификации Clerk. has(), auth.protect() и связанные с ними авторские предикаты в @clerk/shared, @clerk/nextjs, @clerk/backend и других фреймворков SDK могут возвращать истинные для определенных комбинированных проверок авторизации, когда результат должен быть ложным, позволяя предпринять закрытое действие для пользователя, который не удовлетворяет Эта форма вызова может быть обойдена, если соблюдены определенные условия: вызов have() или auth.protect(), который сочетает проверку повторного подтверждения с любой ролью, разрешением, функцией или планом, или который сочетает в себе проверку выставления счетов (функцию или план) с проверкой роли или разрешения. Эта уязвимость зафиксирована в @clerk/clerk-js 5.125.10 и 6.7.5.

CVE-2026-33806Влияние: Приложения Fastify с использованием schema.body.content для проверки тела per-content могут полностью обойти валидацию, предотвечивая пространство к заголовку Content-Type. Тело по-прежнему правильно разобрано, но проверка схемы пропускается. Это регресс, введенный в факсифике >= 5.3.2 фиксацией для CVE-2025-32442 Патчи: Обновление до f5.8.5 или более поздней версии. Обходные пути: Никаких. Обновиться до исправленной версии.

CVE-2026-25223Fastify - это быстрая и низкая накладная веб-фреймворка для Node.js. До версии 5.7.2 в Fastify существует уязвимость шунтирования, в которой схемы проверки тела запроса, указанные в Content-Type, могут быть полностью обойдены. Прибавляя символ вкладки (\t), за которым следует произвольный контент, в заголовок Content-Type злоумышленники могут обойти проверку тела, в то время как сервер все еще обрабатывает тело как оригинальный тип контента. Эта проблема была исправлена в версии 5.7.2.

CVE-2025-32442Fastify - это быстрый и низконадоедающий веб-фреймворк для Node.js. В версиях от 5.0.0 до 5.3.0, а также в версии 4.9.0, приложения, указывающие разные стратегии проверки для разных типов контента, имеют возможность обойти проверку, предоставив слегка измененный тип контента, например с разным регистром или измененным пробелом перед `;` [1]. Эта проблема была исправлена в версиях 5.3.2 и 4.9.1. Рекомендуется обновиться до исправленной версии. Источники: - [1] https://github.com/fastify/fastify/security/advisories/GHSA-mg2h-6x62-wpwc

CVE-2022-39288fastify — это быстрая и легкая веб-платформа для Node.js. Затронутые версии fastify подвержены отказу в обслуживании из-за вредоносного использования заголовка Content-Type. Злоумышленник может отправить недопустимый заголовок Content-Type, который может привести к сбою приложения. Эта проблема была решена в коммите `fbb07e8d` и будет включена в версию 4.8.1. Пользователям рекомендуется обновиться. Пользователи, которые не могут обновиться, могут вручную отфильтровывать http-контент с вредоносными заголовками Content-Type.

CVE-2018-3711Node-модуль Fastify версий до 0.38.0 уязвим для атак типа «отказ в обслуживании» путем отправки запроса с "Content-Type: application/json" и очень большой полезной нагрузкой.

CVE-2020-8192Уязвимость типа «отказ в обслуживании» существует в Fastify v2.14.1 и v3.0.0-rc.4, которая позволяет злоумышленнику вызывать истощение ресурсов (когда используется опция allErrors) со специально созданными схемами.

CVE-2026-3635Резюме Когда TrustProxy настроен с ограничительной функцией доверия (например, конкретный IP, такой как trustProxy: '10.0.0.1', подсеть, количество хмеля или пользовательская функция), request request.protocol и request.host getters читают заголовки X-Forwarded-Proto и X-Forwarded-Host из любого соединения, включая соединения с ненадежных IP-адресов. Это позволяет злоумышленнику, подключающегося непосредственно к Fastify (в обход прокси), подставить как протокол, так и хостер, видимый приложением. Затронутые версии Ускорить <= 5.8.2 Влияние Приложения, использующие request.protocol или request.host для принятия решений в области безопасности (принудительная защита HTTPS, безопасные флаги cookie, проверки происхождения CSRF, создание URL, маршрутизация на основе хоста), затрагиваются, когда trustProxy настроен с ограничительной функцией доверия. Когда trustProxy: true (доверяй всему), как хосты, так и протокол доверяют всем пересылаемым заголовкам — это ожидаемое поведение. Уязвимость проявляется только с ограничительными конфигурациями доверия.

CVE-2026-3419Fastify неправильно принимает неправильное использование неправильного заголовка «Контент-Тип», содержащих задние символы после токена подтипа, в нарушение RFC 9110 §8.3.1 (https://https://httpwg.org/specs/rfc9110.html.content-type). Например, запрос, отправленный с Content-Type: валидация прикладного/джонного мусора проходит проверку и обрабатывается нормально, а не отклоняется с помощью 415 неподдерживаемого типа носителя. Когда используются парсеры типа контента на основе регекса (задокументированная функция Fastify), искаженное значение сопоставляется с зарегистрированными парсерами с использованием полной строки, включая задние мусорные баки. Это означает, что запрос с недействительным типом контента может быть направлен и обработан парсером, которого он никогда не должен был достигать. Влияние: Подписчик может отправлять запросы с RFC-invalid Content-Type заголовками, которые обходят проверки действительности, достигают соответствия парсера типа контента и обрабатываются сервером. Запросы, которые должны быть отклонены на этапе проверки, вместо этого обрабатываются так, как если бы тип контента был действительным. Обходные пути: Развершить правило WAF для защиты от этого Исправить: Исправление доступно начиная с v5.8.1.

CVE-2026-25224Fastify - это быстрая и низкая накладная веб-фреймворка для Node.js. До версии 5.7.3 уязвимость отказа в обслуживании в обработке ответов на веб-потоки Fastify может позволить удаленному клиенту истощать память сервера. Приложения, которые возвращают ReadableStream (или ответ с помощью органа Web Stream) через reply.send() подвергаются воздействию. Медленный или не читающий клиент может вызвать безграничный буфер, когда давление игнорируется, что приводит к сбоям процессов или серьезной деградации. Эта проблема была исправлена в версии 5.7.3.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →