Katalog CVE

CVE-2026-55603

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 14 - wyżej niż 14% wszystkich znanych CVE

Streszczenie

W bibliotece http-proxy-middleware w wersjach od 3.0.4 do 3.0.7 oraz 4.1.1 występuje podatność związana z metodą fixRequestBody(). Przy wysyłaniu danych w formacie multipart/form-data, atakujący może wstrzyknąć nowe części formularza, co prowadzi do desynchronizacji danych między proxy a backendem.

Ocena ryzyka

Podatność ta może umożliwić atakującym manipulację danymi przesyłanymi przez proxy, co może prowadzić do nieautoryzowanego dostępu lub modyfikacji danych. Organizacje powinny być świadome ryzyka związanego z nieprawidłowym przetwarzaniem danych formularzy.

Rekomendacja

Zaleca się aktualizację biblioteki http-proxy-middleware do wersji 3.0.7 lub 4.1.1, aby usunąć tę podatność. Należy również przeprowadzić audyt istniejących polityk bezpieczeństwa dotyczących przetwarzania danych formularzy.

Oryginalny opis (angielski, źródło NVD)

http-proxy-middleware is node.js http-proxy middleware. From 3.0.4 until 3.0.7 and 4.1.1, fixRequestBody() is the library's documented helper for re-emitting a request body that was already consumed by a body parser. When the outgoing Content-Type is multipart/form-data, it rebuilds the body with handlerFormDataBodyData(), which interpolates each req.body key and value directly into the multipart wire format without neutralizing CR/LF. A \r\n inside a value (or key) lets an attacker close the current part and inject an entirely new form part. Because the proxy's own body parser saw a single opaque value, any gateway-side policy or validation performed on req.body is evaluated against a different set of fields than the upstream backend ultimately parses a request/parameter desynchronization across the trust boundary. This vulnerability is fixed in 3.0.7 and 4.1.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS