Plataforma
nodejs
Componente
fastify
Corregido en
5.7.4
5.7.4
5.7.3
Se ha identificado una vulnerabilidad de Denegación de Servicio (DoS) en Fastify, un framework web para Node.js. Esta vulnerabilidad permite a un cliente remoto agotar la memoria del servidor, provocando fallos o degradación del rendimiento. La vulnerabilidad afecta a las aplicaciones que utilizan Web Streams en sus respuestas y se recomienda actualizar a la versión 5.7.3 o posterior para solucionar el problema.
La vulnerabilidad DoS en Fastify se manifiesta cuando un cliente envía una respuesta ReadableStream (o Response con un cuerpo de Web Stream) a través de reply.send() y este cliente es lento o no lee los datos correctamente. Fastify, en versiones vulnerables, no gestiona adecuadamente la retroalimentación de presión (backpressure), lo que resulta en un almacenamiento en búfer ilimitado. Este almacenamiento excesivo puede consumir toda la memoria disponible del servidor, llevando a un fallo del proceso o a una severa degradación del servicio. La severidad del impacto depende de la capacidad del atacante para mantener una conexión persistente y enviar datos a un ritmo que sobrepase la capacidad de procesamiento del servidor.
Esta vulnerabilidad ha sido publicada el 2 de febrero de 2026. No se ha reportado explotación activa en entornos reales hasta el momento. La puntuación CVSS de 3.7 (LOW) indica una probabilidad de explotación relativamente baja, aunque el impacto puede ser significativo si se logra explotar. No se ha añadido a la lista KEV de CISA.
Applications built with Fastify 5.x that utilize Web Streams for response handling are at risk. This includes applications serving large files or streaming data, particularly those deployed in environments with limited resources or where input validation is insufficient. Shared hosting environments running Fastify applications are also potentially vulnerable.
• nodejs / server:
ps aux | grep -i fastify | grep -i 'readableStream'• nodejs / server:
journalctl -u fastify -f | grep -i 'backpressure'• generic web: Use a load testing tool (e.g., ApacheBench) to send a large, slow stream to Fastify endpoints and monitor server memory usage. Look for sustained increases in memory consumption.
disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Fastify a la versión 5.7.3 o posterior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda evitar el uso de Web Streams en las respuestas de Fastify. Esto implica no enviar ReadableStream o Response con cuerpos de Web Stream a través de reply.send(). Como alternativa temporal, se podría implementar un mecanismo de timeout en el lado del servidor para limitar el tiempo que se espera a que el cliente consuma los datos del stream. Después de la actualización, verifique la corrección ejecutando pruebas de carga para asegurar que el servidor puede manejar el tráfico esperado sin agotar la memoria.
Actualice Fastify a la versión 5.7.3 o superior. Esto solucionará la vulnerabilidad de denegación de servicio causada por la asignación de memoria sin límites en sendWebStream. La actualización evitará que un cliente lento o que no lee provoque un consumo excesivo de memoria en el servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25224 is a Denial of Service vulnerability in Fastify's Web Streams response handling. A slow client can exhaust server memory, potentially causing crashes.
If you are using Fastify 5.x and utilize Web Streams for response handling, you are potentially affected. Upgrade to 5.7.3 or later to mitigate the risk.
Upgrade Fastify to version 5.7.3 or later. As a temporary workaround, avoid using Web Streams in your responses.
There are no confirmed reports of active exploitation at this time, but the vulnerability's nature makes it a potential target.
Refer to the Fastify project's security advisories on their GitHub repository: [https://github.com/fastify/fastify/security/advisories](https://github.com/fastify/fastify/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.