Fastify — это быстрый и недорогой веб-фреймворк для Node.js. До версии 5.7.3 уязвимость типа «отказ в обслуживании» в обработке ответов веб-потоков Fastify могла позволить удаленному клиенту исчерпать память сервера. Это затрагивает приложения, которые возвращают ReadableStream (или ответ с телом веб-потока) через ответ.send(). Медленный или не читающий клиент может вызвать неограниченную буферизацию, когда противодавление игнорируется, что приводит к сбоям процесса или серьезному ухудшению его качества. Эта проблема исправлена в версии 5.7.3.
Показать оригинальное описание (английский)
Fastify is a fast and low overhead web framework, for Node.js. Prior to version 5.7.3, a denial-of-service vulnerability in Fastify’s Web Streams response handling can allow a remote client to exhaust server memory. Applications that return a ReadableStream (or Response with a Web Stream body) via reply.send() are impacted. A slow or non-reading client can trigger unbounded buffering when backpressure is ignored, leading to process crashes or severe degradation. This issue has been patched in version 5.7.3.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L