Katalog CVE

CVE-2026-6270

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje @fastify/middie do 9.3.1 nie rejestrują dziedziczonych middleware bezpośrednio na instancjach silnika wtyczek podrzędnych. To pozwala na ominięcie kontroli uwierzytelniania i autoryzacji dla żądań kierowanych do tras zdefiniowanych w wtyczkach podrzędnych.

Ocena ryzyka

Organizacja narażona jest na ryzyko, że nieautoryzowane żądania mogą uzyskać dostęp do tras, co może prowadzić do nieautoryzowanego dostępu do zasobów.

Rekomendacja

Zaleca się aktualizację do wersji @fastify/middie 9.3.2, aby rozwiązać ten problem. Nie ma dostępnych obejść.

Oryginalny opis (angielski, źródło NVD)

@fastify/middie versions 9.3.1 and earlier do not register inherited middleware directly on child plugin engine instances. When a Fastify application registers authentication middleware in a parent scope and then registers child plugins with @fastify/middie, the child scope does not inherit the parent middleware. This allows unauthenticated requests to reach routes defined in child plugin scopes, bypassing authentication and authorization checks. Upgrade to @fastify/middie 9.3.2 to fix this issue. There are no workarounds.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS