JVNDB-2026-007975

fastifyにおける不正な正規表現に関する脆弱性

Fastifyは、RFC 9110 §8.3.1（https://httpwg.org/specs/rfc9110.html#field.content-type）に違反し、サブタイプトークンの後に不要な文字が含まれる不正な`Content-Type`ヘッダーを誤って受け入れます。例えば、Content-Type: application/json garbageというリクエストが送信されると、415 Unsupported Media Typeで拒否されるべきところが検証を通過して正常に処理されてしまいます。正規表現ベースのContent-Typeパーサーが使用されている場合（Fastifyのドキュメント化された機能）、不正な値は末尾の不要な文字を含む完全な文字列で登録されたパーサーとマッチングされます。これは、不正なContent-Typeを持つリクエストが本来越えるべきでないパーサーにルーティングされ、処理される可能性があることを意味します。影響として、攻撃者はRFCに準拠しないContent-Typeヘッダーを含むリクエストを送信して検証を回避し、Content-Typeパーサーマッチングに到達してサーバーで処理される恐れがあります。検証段階で拒否されるべきリクエストが有効なContent-Typeとして扱われてしまいます。回避策として、この問題に対処するWAFルールの導入が推奨されます。修正はv5.8.1以降で利用可能です。

fastify

• fastify 5.7.2 以上 5.8.1 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Fastify's Missing End Anchor in "subtypeNameReg" Allows Malformed Content-Types to Pass Validation  CVE-2026-3419  GitHub Advisory Database  GitHub
• GitHub : Missing End Anchor in "subtypeNameReg" Allows Malformed Content-Types to Pass Validation  Advisory  fastify/fastify  GitHub

Open JS Foundation

• Open JS Foundation : Security Advisories | OpenJS Foundation CVE Numbering Authority

1. 不正な正規表現(CWE-185) [その他]

1. CVE-2026-3419

1. National Vulnerability Database (NVD) : CVE-2026-3419
2. 関連文書 : RFC 9110 - HTTP Semantics
3. 関連文書 : Merge commit from fork  fastify/fastify@67f6c9b  GitHub

• [2026年03月23日]
    掲載