Plattform
nodejs
Komponente
@fastify/express
Behoben in
4.0.5
4.0.5
CVE-2026-33807 is an Authentication Bypass vulnerability found in @fastify/express versions up to 4.0.4. The vulnerability stems from a path handling bug within the onRegister function, leading to middleware paths being doubled when inherited by child plugins. This effectively bypasses Express middleware security controls for routes defined within child plugins, potentially exposing sensitive data and functionality. The vulnerability is fixed in version 4.0.5.
CVE-2026-33807 in @fastify/express v4.0.4 liegt in einem Fehler in der Pfadbehandlung innerhalb der Funktion onRegister. Diese Funktion, die für die Plugin-Registrierung verantwortlich ist, dupliziert Pfade von Middleware-Komponenten fälschlicherweise, wenn diese von untergeordneten Plugins geerbt werden. Infolgedessen werden Sicherheitskontrollen von Express für Middleware-Komponenten vollständig umgangen, wenn Routen innerhalb des Geltungsbereichs von untergeordneten Plugins definiert werden, die ein Präfix mit den Middleware-Komponenten des übergeordneten Plugins gemeinsam nutzen. Es ist keine spezielle Konfiguration erforderlich – dies betrifft die Standard-Fastify-Konfiguration. Der CVSS-Wert beträgt 9,1, was eine kritische Schweregradstufe anzeigt. Diese Pfadduplizierung ermöglicht die Umgehung von Sicherheitsbeschränkungen und öffnet potenziell die Tür für böswillige Angriffe.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er ein untergeordnetes Plugin mit Routen erstellt, die ein Präfix mit der in einem übergeordneten Plugin registrierten Middleware gemeinsam nutzen. Aufgrund der Pfadduplizierung werden die Sicherheitsvorkehrungen, die auf der Middleware des übergeordneten Plugins angewendet werden, nicht auf die Routen des untergeordneten Plugins angewendet, wodurch der Angreifer diese Vorkehrungen umgehen und potenziell unautorisierte Ressourcen oder Funktionen aufrufen kann. Die einfache Ausnutzbarkeit und das potenzielle Risiko rechtfertigen die hohe CVSS-Schweregradbewertung.
Exploit-Status
EPSS
0.02% (6% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, auf Version 4.0.5 oder höher von @fastify/express zu aktualisieren. Diese Version behebt den Fehler in der Pfadbehandlung innerhalb der Funktion onRegister, verhindert die Duplizierung von Middleware-Pfaden und stellt die ordnungsgemäße Anwendung von Express-Sicherheitskontrollen wieder her. Die umgehende Anwendung dieses Updates wird dringend empfohlen, um das Risiko einer Ausnutzung zu mindern. Darüber hinaus sollten Sie die Konfiguration Ihrer untergeordneten Plugins überprüfen, um sicherzustellen, dass keine anfälligen Routen verwendet werden, obwohl das Upgrade auf die gepatchte Version die primäre Abhilfemaßnahme bleibt.
Actualice a la versión 4.0.5 o superior de @fastify/express para corregir la vulnerabilidad. Esta actualización soluciona un error en el manejo de rutas que permitía eludir los controles de seguridad de Express, como la autenticación y la autorización, en plugins secundarios.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es bedeutet, dass derselbe Middleware-Pfad zweimal registriert wird, wodurch die Sicherheitsvorkehrungen, die auf die erste Instanz angewendet werden, nicht auf die zweite angewendet werden.
Überprüfen Sie die Version von @fastify/express, die Sie verwenden. Wenn es sich um v4.0.4 oder früher handelt, ist Ihre Anwendung anfällig.
Obwohl nicht empfohlen, überprüfen Sie sorgfältig die Konfiguration Ihrer untergeordneten Plugins, um potenzielle anfällige Routen zu identifizieren und zusätzliche Sicherheitsmaßnahmen zu ergreifen.
Derzeit gibt es keine speziellen Tools, um diese Schwachstelle zu erkennen, aber Sicherheitsaudits und Penetrationstests werden empfohlen.
CVSS (Common Vulnerability Scoring System) ist ein Standard zur Bewertung der Schwere von Schwachstellen. Ein Wert von 9,1 deutet auf eine kritische Schwachstelle hin, die sofortige Aufmerksamkeit erfordert.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.