Katalog CVE

CVE-2026-14198

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 23 — wyżej niż 23% wszystkich znanych CVE

Streszczenie

Podatność w @fastify/middie w wersjach 9.1.0 do 9.3.2 powoduje rozbieżność w interpretacji zakodowanego ukośnika (%2F) między middleware a routerem Fastify. Atakujący może ominąć middleware używane do uwierzytelniania, autoryzacji lub ograniczania prędkości, wysyłając spreparowane żądanie z zakodowanym ukośnikiem w parametrze ścieżki.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany dostęp do chronionych zasobów, co może prowadzić do naruszenia poufności danych, eskalacji uprawnień lub ataków DoS na wrażliwe punkty końcowe.

Rekomendacja

Należy natychmiast zaktualizować @fastify/middie do wersji 9.3.3. Jeśli aktualizacja nie jest możliwa, należy unikać używania sparametryzowanych ścieżek w middleware do podejmowania decyzji bezpieczeństwa i wymuszać uwierzytelnianie na poziomie route handlera lub hooka Fastify.

Oryginalny opis (angielski, źródło NVD)

@fastify/middie versions 9.1.0 through 9.3.2 decode the encoded slash %2F inside path parameter values before matching middleware paths, while Fastify's underlying router preserves the encoding during route lookup. The two layers disagree on the canonical request path, so the middleware fails to match a URL that the route handler does match. When middleware is used for authentication, authorization, rate limiting, or auditing on parameterized paths, an attacker can reach the protected handler by sending a single crafted URL with an encoded slash in the parameter position. The bypass is HTTP method agnostic and requires no authentication or special preconditions. Patches: upgrade to @fastify/middie 9.3.3. Workarounds: avoid parameterized middleware paths for security decisions, or enforce authentication at the route handler or via a Fastify hook that runs after the router has resolved the request.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS