CVE-2026-54281
WysokieCVSS 8.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 - wyżej niż 20% wszystkich znanych CVE
Streszczenie
W frameworku Nest, przed wersją 11.1.24, występowała podatność na obejście uwierzytelniania w @nestjs/platform-fastify. Klient, który nie jest uwierzytelniony, może obejść middleware Nest, dodając ukośnik (/) na końcu adresu URL żądania.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do zasobów, co może prowadzić do wycieku danych lub innych poważnych incydentów bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację do wersji 11.1.24 lub nowszej, aby usunąć tę podatność oraz przetestowanie aplikacji pod kątem potencjalnych luk w zabezpieczeniach.
Oryginalny opis (angielski, źródło NVD)
Nest is a framework for building scalable Node.js server-side applications. Prior to 11.1.24, an authentication bypass vulnerability exists in @nestjs/platform-fastify. When middleware is registered through NestJS's MiddlewareConsumer.forRoutes() API on the Fastify adapter, an unauthenticated client can bypass the Nest middleware registered for that route by simply appending a trailing slash (/) to the request URL. This bypass works on the default Fastify adapter configuration. This vulnerability is fixed in 11.1.24.

