OpenJS - CVE-2026-13676
Date de publication :
Il s'agit d'une vulnérabilité dans le chemin de conversion IDN de fast-uri.
fast-uri est une bibliothèque JavaScript de parsing et de validation d'URI, utilisée comme dépendance dans l'écosystème Node.js, notamment au sein du framework Fastify et de l'outil de validation de schémas Ajv.
La bibliothèque appelle une fonction domainToASCII inexistante sur le constructeur URL global, ce qui génère une erreur silencieusement absorbée. Les fonctions parse(), normalize() et equal() retournent alors un hôte laissé sous sa forme Unicode d'origine, non canonicalisée. Un nom d'hôte tel que des points Unicode visuellement similaires au point ASCII est ainsi traité différemment par fast-uri et par un parseur WHATWG conforme comme celui de Node.js.
Elle permet à un attaquant distant de contourner des politiques de sécurité basées sur l'hôte (listes de blocage, filtrage loopback, validation de redirection, routage proxy) lorsque l'application utilise fast-uri pour le contrôle puis un autre parseur pour la requête effective.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Contournement de la politique de sécurité
Exploitation
CWE-436 : Interpretation Conflict
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
• fast-uri versions 2.3.1 à 3.1.2
• fast-uri version 4.0.0
Solutions ou recommandations
• fast-uri version 4.0.1 et supérieures pour la branche 4.x