Plattform
nodejs
Komponente
node.js
Behoben in
9.1.1
9.1.1
CVE-2026-6410 describes a Path Traversal vulnerability found in the @fastify/static Node.js plugin. This vulnerability allows an unauthenticated attacker to potentially disclose directory listings, revealing file and directory names within the Node.js process. The vulnerability affects versions 8.0.0 through 9.1.0 of the plugin, and a fix is available in version 9.1.1. Disabling directory listing is a viable workaround.
CVE-2026-6410 in @fastify/static affects versions 8.0.0 through 9.1.0. Es ermöglicht einem nicht authentifizierten, entfernten Angreifer, Verzeichnisauflistungen von beliebigen Verzeichnissen abzurufen, auf die der Node.js-Prozess Zugriff hat. Dies liegt an einem Fehler in der Funktion dirList.path(), die path.join() verwendet, um Verzeichnisse ohne ordnungsgemäße Containment-Prüfung aufzulösen. Obwohl der Inhalt der Dateien nicht offengelegt wird, kann die Offenlegung von Verzeichnis- und Dateinamen verwendet werden, um sensible Informationen über die Struktur der Anwendung zu sammeln und möglicherweise weitere Angriffe zu erleichtern. Die CVSS-Schwere ist 5,3, was ein moderates Risiko bedeutet, das sofortige Aufmerksamkeit erfordert.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er sorgfältig gestaltete HTTP-Anfragen an eine Fastify-Anwendung sendet, die @fastify/static mit der Option 'list' verwendet. Durch die Manipulation des angeforderten Pfads kann der Angreifer die Funktion dirList.path() dazu veranlassen, Verzeichnisse außerhalb des konfigurierten Root-Verzeichnisses aufzulösen und so den Inhalt des Verzeichnisses preiszugeben. Das Fehlen einer Authentifizierung bedeutet, dass jeder Remote-Benutzer versuchen kann, diese Schwachstelle auszunutzen. Der Schwierigkeitsgrad der Ausnutzung ist gering, da keine fortgeschrittenen technischen Fähigkeiten oder privilegierten Zugriff erforderlich sind.
Applications utilizing @fastify/static versions 8.0.0 through 9.1.0 with directory listing enabled are at risk. This includes Node.js applications serving static assets, particularly those deployed in production environments where security is paramount. Shared hosting environments using this plugin are also at increased risk due to the potential for cross-tenant exploitation.
• nodejs / server:
find / -name "@fastify/static" -exec grep -i 'dirList.path()' {} + | grep -i 'path.join()' • nodejs / server:
ps aux | grep -i '@fastify/static' | grep -i 'list: true'• generic web:
Use curl or wget to check for directory listing endpoints (e.g., /static/). A successful listing indicates potential exposure.
disclosure
Exploit-Status
EPSS
0.02% (6% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung ist, die @fastify/static-Abhängigkeit auf Version 9.1.1 oder höher zu aktualisieren. Diese Version behebt die Schwachstelle, indem sie eine ordnungsgemäße Containment-Prüfung innerhalb der Funktion dirList.path() implementiert und so verhindert, dass Verzeichnisse außerhalb des konfigurierten Root-Verzeichnisses aufgelöst werden. Eine sofortige Aktualisierung wird empfohlen, insbesondere in Produktionsumgebungen. Alternativ ist das Deaktivieren der Option 'list' in @fastify/static eine vorübergehende Abschwächung, wenn eine sofortige Aktualisierung nicht möglich ist, obwohl dies die Verzeichnisauflistungsfunktionalität einschränkt.
Actualice el paquete @fastify/static a la versión 9.1.1 o superior para solucionar la vulnerabilidad de path traversal. Como alternativa, desactive el listado de directorios eliminando la opción 'list' de la configuración del plugin.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Path Traversal ist eine Art von Sicherheitslücke, die es einem Angreifer ermöglicht, auf Dateien oder Verzeichnisse außerhalb des vorgesehenen Root-Verzeichnisses einer Anwendung zuzugreifen.
Ja, die Schwachstelle betrifft alle Umgebungen, die @fastify/static in den betroffenen Versionen verwenden und die Option 'list' aktiviert haben.
Als vorübergehende Abschwächung deaktivieren Sie die Option 'list' in @fastify/static. Dies schränkt jedoch die Verzeichnisauflistungsfunktionalität ein.
Statische und dynamische Sicherheitstools können diese Schwachstelle erkennen. Nach der Aktualisierung wird ein vollständiger Sicherheitsscan empfohlen.
Sie können die Version mit dem Befehl npm list @fastify/static in der Befehlszeile überprüfen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.