Plattform
nodejs
Komponente
@fastify/middie
Behoben in
9.3.2
9.3.2
CVE-2026-33804 affects the @fastify/middie middleware package, specifically versions up to 9.3.2. The vulnerability arises from an inconsistency in how duplicate slashes are handled – Fastify's router normalizes them, but middie does not when using the deprecated top-level configuration. This discrepancy can lead to middleware bypass, potentially allowing attackers to access restricted resources by crafting URLs with duplicate leading slashes, such as //admin/secret, if the application uses the deprecated configuration style. Version 9.3.2 resolves this issue.
Die CVE-2026-33804-Schwachstelle in @fastify/middie (Versionen v9.3.1 und früher) ergibt sich aus einer Diskrepanz bei der Behandlung der Option ignoreDuplicateSlashes. Während der Router von Fastify doppelte Schrägstriche normalisiert, tut dies middie nicht, wenn er über den Top-Level-Konfigurationsstil (fastify({ ignoreDuplicateSlashes: true })) konfiguriert ist. Dies erzeugt eine Normalisierungslücke, die es einem Angreifer ermöglicht, Middleware zu umgehen, indem er URLs mit doppelten führenden Schrägstrichen verwendet (z. B. //admin/secret). Diese Schwachstelle betrifft nur Anwendungen, die diesen veralteten Top-Level-Konfigurationsstil verwenden.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine URL mit doppelten Schrägstrichen am Anfang einer Middleware-geschützten Route erstellt. Da middie diese Schrägstriche nicht normalisiert, wird die Middleware möglicherweise nicht ausgeführt, wodurch der Angreifer Zugriff auf eingeschränkte Ressourcen oder Funktionen erhält. Die Wahrscheinlichkeit einer Ausnutzung hängt davon ab, ob die Anwendung den veralteten Konfigurationsstil verwendet und ob sensible Routen vorhanden sind, die durch Middleware geschützt sind.
Node.js applications utilizing the deprecated top-level configuration for @fastify/middie are at risk. This includes applications that have not been updated to use the routerOptions configuration style and rely on the ignoreDuplicateSlashes option for URL normalization.
• nodejs / server:
npm list @fastify/middie• nodejs / server:
npm audit @fastify/middie• nodejs / server:
Check application configuration files for ignoreDuplicateSlashes: true at the top level.
disclosure
Exploit-Status
EPSS
0.05% (15% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung besteht darin, @fastify/middie auf Version 9.3.2 oder höher zu aktualisieren. Diese Version behebt das Problem, indem sichergestellt wird, dass middie die Option ignoreDuplicateSlashes korrekt liest und anwendet, unabhängig davon, wo sie konfiguriert ist. Wenn Sie weiterhin den veralteten Top-Level-Konfigurationsstil verwenden, empfehlen wir dringend, auf die Standard-Router-Konfiguration umzusteigen, um diese und andere potenzielle Schwachstellen zu vermeiden. Überprüfen Sie außerdem Ihren Code, um Abhängigkeiten von der Top-Level-Option ignoreDuplicateSlashes zu identifizieren und entsprechend anzupassen.
Actualice a la versión 9.3.2 de @fastify/middie para solucionar esta vulnerabilidad. La vulnerabilidad se produce debido a una lógica de coincidencia de rutas de middleware que no considera la normalización de barras duplicadas. No existen soluciones alternativas más allá de deshabilitar la opción obsoleta ignoreDuplicateSlashes.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist eine Option, die angibt, ob doppelte Schrägstriche am Anfang einer URL normalisiert werden sollen. Fastify tut dies standardmäßig, aber middie hat es in anfälligen Versionen nicht korrekt behandelt.
Nein. Sie betrifft nur Anwendungen, die den veralteten Top-Level-Konfigurationsstil fastify({ ignoreDuplicateSlashes: true }) verwenden.
Überprüfen Sie die Version von @fastify/middie, die Sie verwenden, und ob Sie ignoreDuplicateSlashes beim Initialisieren von Fastify auf oberster Ebene konfigurieren.
Als vorübergehende Maßnahme vermeiden Sie die Verwendung von URLs mit doppelten Schrägstrichen am Anfang sensibler Routen.
Konsultieren Sie den CVE-2026-33804-Bericht und die Veröffentlichungshinweise von @fastify/middie für weitere Details.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.