概要
@fastify/reply-from は Fastify 用のリバースプロキシプラグインで、@fastify/http-proxy もこれに依存しています。v12.6.1 以前において、プロキシがアップストリームリクエストにヘッダーを追加した後でクライアントの Connection ヘッダーを処理する実装上の問題があります。
HTTP/1.1 の仕様では Connection ヘッダーに列挙されたヘッダー名は転送時に削除されます。このため、クライアントが Connection ヘッダーにプロキシが追加したヘッダー名(例: X-Auth-Token、X-Forwarded-For、X-Real-IP など)を列挙することで、それらのヘッダーをアップストリームサーバーへのリクエストから選択的に削除できます。
アクセス制御や認証のために使用するプロキシ追加ヘッダーを消去することで、バックエンドのセキュリティ制御を回避できます。
CVSSベクトル
| 要素 | 値 |
|---|---|
| Attack Vector | Network |
| Attack Complexity | Low |
| Privileges Required | None |
| User Interaction | None |
| Scope | Changed |
| Confidentiality | High |
| Integrity | Low |
| Availability | None |
| CVSSスコア | 8.6 (High) |
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正バージョン |
|---|---|---|
| @fastify/reply-from | v12.6.1 以前 | v12.6.2 以降 |
| @fastify/http-proxy | v11.4.3 以前 | v11.4.4 以降 |
修正バージョンと回避策
推奨対応: 以下のいずれかをアップデートしてください。
npm install @fastify/reply-from@latest
npm install @fastify/http-proxy@latest
暫定回避策:
- リクエストパイプラインの上流で
Connectionヘッダーを検証・削除する rewriteRequestHeadersフックでプロキシ追加ヘッダーが存在することを確認するロジックを追加する
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。