Katalog CVE

CVE-2026-2880

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w @fastify/middie w wersjach poniżej 9.2.0 może prowadzić do ominięcia uwierzytelniania/autoryzacji przy użyciu middleware o zasięgu ścieżki. W przypadku włączonych opcji normalizacji routera Fastify, odpowiednio skonstruowane ścieżki żądań mogą omijać kontrole middleware.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do chronionych zasobów, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację @fastify/middie do wersji 9.2.0 lub nowszej, aby zlikwidować tę podatność.

Oryginalny opis (angielski, źródło NVD)

A vulnerability in @fastify/middie versions < 9.2.0 can result in authentication/authorization bypass when using path-scoped middleware (for example, app.use('/secret', auth)). When Fastify router normalization options are enabled (such as ignoreDuplicateSlashes, useSemicolonDelimiter, and related trailing-slash behavior), crafted request paths may bypass middleware checks while still being routed to protected handlers.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS