Katalog CVE

CVE-2026-54281

WysokieCVSS 8.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 20 - wyżej niż 20% wszystkich znanych CVE

Streszczenie

W frameworku Nest, przed wersją 11.1.24, występowała podatność na obejście uwierzytelniania w @nestjs/platform-fastify. Klient, który nie jest uwierzytelniony, może obejść middleware Nest, dodając ukośnik (/) na końcu adresu URL żądania.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do zasobów, co może prowadzić do wycieku danych lub innych poważnych incydentów bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do wersji 11.1.24 lub nowszej, aby usunąć tę podatność oraz przetestowanie aplikacji pod kątem potencjalnych luk w zabezpieczeniach.

Oryginalny opis (angielski, źródło NVD)

Nest is a framework for building scalable Node.js server-side applications. Prior to 11.1.24, an authentication bypass vulnerability exists in @nestjs/platform-fastify. When middleware is registered through NestJS's MiddlewareConsumer.forRoutes() API on the Fastify adapter, an unauthenticated client can bypass the Nest middleware registered for that route by simply appending a trailing slash (/) to the request URL. This bypass works on the default Fastify adapter configuration. This vulnerability is fixed in 11.1.24.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS