Vulnerabilidad en Fastify (CVE-2026-25223)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
03/02/2026
Última modificación:
10/02/2026
Descripción
Fastify es un framework web rápido y de baja sobrecarga, para Node.js. Antes de la versión 5.7.2, existe una vulnerabilidad de omisión de validación en Fastify donde los esquemas de validación del cuerpo de la solicitud especificados por Content-Type pueden ser completamente eludidos. Al añadir un carácter de tabulación (\t) seguido de contenido arbitrario al encabezado Content-Type, los atacantes pueden omitir la validación del cuerpo mientras el servidor sigue procesando el cuerpo como el tipo de contenido original. Este problema ha sido parcheado en la versión 5.7.2.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:fastify:fastify:*:*:*:*:*:node.js:*:* | 5.7.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://fastify.dev/docs/latest/Reference/Validation-and-Serialization
- https://github.com/fastify/fastify/blob/759e9787b5669abf953068e42a17bffba7521348/lib/content-type-parser.js#L125
- https://github.com/fastify/fastify/blob/759e9787b5669abf953068e42a17bffba7521348/lib/validation.js#L272
- https://github.com/fastify/fastify/commit/32d7b6add39ddf082d92579a58bea7018c5ac821
- https://github.com/fastify/fastify/security/advisories/GHSA-jx2c-rxcm-jvmq
- https://hackerone.com/reports/3464114