Plateforme
nodejs
Composant
@fastify/middie
Corrigé dans
9.3.2
9.3.2
La vulnérabilité CVE-2026-33804 affecte la bibliothèque @fastify/middie, versions antérieures à 9.3.2. Elle permet un contournement de middleware en exploitant une incohérence dans la gestion des slashes redondants dans les URLs. Cette faille peut potentiellement mener à un accès non autorisé à des ressources sensibles, impactant la sécurité des applications Fastify utilisant l'ancienne configuration ignoreDuplicateSlashes. Une version corrigée, 9.3.2, est désormais disponible.
La vulnérabilité CVE-2026-33804 dans @fastify/middie (versions v9.3.1 et antérieures) découle d'une incohérence dans la manière dont l'option ignoreDuplicateSlashes est gérée. Alors que le routeur de Fastify normalise les barres obliques dupliquées, middie ne le fait pas lorsqu'il est configuré via le style de configuration de niveau supérieur (obsolète) fastify({ ignoreDuplicateSlashes: true }). Cela crée un écart de normalisation, permettant à un attaquant de contourner le middleware en utilisant des URL avec des barres obliques dupliquées au début (par exemple, //admin/secret). Cette vulnérabilité n'affecte que les applications utilisant ce style de configuration obsolète.
Un attaquant pourrait exploiter cette vulnérabilité en créant une URL avec des barres obliques dupliquées au début d'une route protégée par un middleware. Étant donné que middie ne normalise pas ces barres, le middleware pourrait ne pas s'exécuter, permettant à l'attaquant d'accéder à des ressources ou des fonctionnalités restreintes. La probabilité d'exploitation dépend de si l'application utilise le style de configuration obsolète et de la présence de routes sensibles protégées par un middleware.
Node.js applications utilizing the deprecated top-level configuration for @fastify/middie are at risk. This includes applications that have not been updated to use the routerOptions configuration style and rely on the ignoreDuplicateSlashes option for URL normalization.
• nodejs / server:
npm list @fastify/middie• nodejs / server:
npm audit @fastify/middie• nodejs / server:
Check application configuration files for ignoreDuplicateSlashes: true at the top level.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
La solution consiste à mettre à jour @fastify/middie à la version 9.3.2 ou supérieure. Cette version corrige le problème en garantissant que middie lit et applique correctement l'option ignoreDuplicateSlashes, quel que soit l'endroit où elle est configurée. Si vous utilisez toujours le style de configuration obsolète, nous vous recommandons vivement de migrer vers la configuration standard du routeur pour éviter cette vulnérabilité et d'autres vulnérabilités potentielles. De plus, examinez votre code pour identifier les dépendances à l'option ignoreDuplicateSlashes de niveau supérieur et ajustez-les en conséquence.
Actualice a la versión 9.3.2 de @fastify/middie para solucionar esta vulnerabilidad. La vulnerabilidad se produce debido a una lógica de coincidencia de rutas de middleware que no considera la normalización de barras duplicadas. No existen soluciones alternativas más allá de deshabilitar la opción obsoleta ignoreDuplicateSlashes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une option qui indique si les barres obliques dupliquées au début d'une URL doivent être normalisées. Fastify le fait par défaut, mais middie ne l'a pas géré correctement dans les versions vulnérables.
Non. Elle n'affecte que les applications utilisant le style de configuration de niveau supérieur obsolète fastify({ ignoreDuplicateSlashes: true }).
Vérifiez la version de @fastify/middie que vous utilisez et si vous configurez ignoreDuplicateSlashes au niveau supérieur lors de l'initialisation de Fastify.
Comme mesure temporaire, évitez d'utiliser des URL avec des barres obliques dupliquées au début de routes sensibles.
Consultez le rapport de vulnérabilité CVE-2026-33804 et les notes de publication de @fastify/middie pour plus de détails.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.