Vulnerabilidad en fastify (CVE-2026-3419)

Fastify acepta incorrectamente encabezados `Content-Type` malformados que contienen caracteres adicionales después del token de subtipo, en violación de la RFC 9110 §8.3.1(https://httpwg.org/specs/rfc9110.html#field.content-type). Por ejemplo, una solicitud enviada con Content-Type: application/json garbage pasa la validación y se procesa normalmente, en lugar de ser rechazada con 415 Unsupported Media Type.<br /> <br /> Cuando se utilizan analizadores de tipo de contenido basados en expresiones regulares (regex) (una característica documentada de Fastify), el valor malformado se compara con los analizadores registrados utilizando la cadena completa, incluidos los caracteres adicionales. Esto significa que una solicitud con un tipo de contenido no válido puede ser enrutada y procesada por un analizador al que nunca debería haber llegado.<br /> <br /> Impacto:<br /> Un atacante puede enviar solicitudes con encabezados Content-Type no válidos según la RFC que eluden las comprobaciones de validez, llegan a la coincidencia del analizador de tipo de contenido y son procesadas por el servidor. Las solicitudes que deberían ser rechazadas en la etapa de validación son, en cambio, manejadas como si el tipo de contenido fuera válido.<br /> <br /> Soluciones provisionales:<br /> Implementar una regla de WAF para protegerse contra esto<br /> <br /> Solución:<br /> <br /> La solución está disponible a partir de la v5.8.1.