Katalog CVE

CVE-2026-6556

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 23 — wyżej niż 23% wszystkich znanych CVE

Streszczenie

Podatność w @fastify/express w wersjach 4.0.6 i wcześniejszych powoduje, że prefiksy pluginów nie są stosowane do ścieżek montowania middleware, gdy są one tablicami lub wyrażeniami regularnymi. W rezultacie middleware rejestrowane w ten sposób nie jest wykonywane dla żądań kierowanych do prefiksowanych tras, co umożliwia ominięcie mechanizmów bezpieczeństwa.

Ocena ryzyka

Organizacja naraża się na ryzyko ominięcia uwierzytelniania, autoryzacji, limitowania żądań lub audytu na trasach wewnątrz prefiksowanych zakresów pluginów, co może prowadzić do nieautoryzowanego dostępu do chronionych zasobów.

Rekomendacja

Należy natychmiast zaktualizować @fastify/express do wersji 4.0.7 lub nowszej. Jako tymczasowe obejście, w prefiksowanych pluginach należy używać wyłącznie stringów jako ścieżek montowania middleware, unikając tablic i wyrażeń regularnych.

Oryginalny opis (angielski, źródło NVD)

@fastify/express versions 4.0.6 and earlier only rewrite the plugin prefix for middleware mount paths when the path argument is a string. Non-string mount paths (arrays of paths and regular expressions) are left unprefixed inside prefixed plugin scopes, so middleware registered with those forms does not match the actual prefixed request path. Applications that use path-scoped middleware for authentication, authorization, rate limiting, or auditing on routes inside a prefixed scope can be bypassed by sending a request to the prefixed route, because Fastify still matches the route but the middleware is skipped. Patches: upgrade to @fastify/express 4.0.7. Workarounds: use string mount paths instead of arrays or regular expressions in prefixed plugins, or register one use call per path.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS