Влияние:
Приложения Fastify, использующие Schema.body.content для проверки тела каждого типа контента, могут полностью обойти проверку, добавив пробел к заголовку Content-Type. Тело по-прежнему анализируется правильно, но проверка схемы пропускается. Это регрессия, введенная в fastify >= 5.3.2 исправлением CVE-2025-32442.
Патчи:
Обновите версию до версии 5.8.5 или более поздней. Обходные пути:
Нет. Обновитесь до исправленной версии.
Показать оригинальное описание (EN)
Impact: Fastify applications using schema.body.content for per-content-type body validation can have validation bypassed entirely by prepending a space to the Content-Type header. The body is still parsed correctly but schema validation is skipped. This is a regression introduced in fastify >= 5.3.2 by the fix for CVE-2025-32442 Patches: Upgrade to fastify v5.8.5 or later. Workarounds: None. Upgrade to the patched version.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Fastify Fastify
cpe:2.3:a:fastify:fastify:*:*:*:*:*:node.js:*:*
|
5.3.2
|
5.8.5
|