Plateforme
nodejs
Composant
@fastify/express
Corrigé dans
4.0.5
4.0.5
La vulnérabilité CVE-2026-33807 affecte la bibliothèque @fastify/express jusqu'à la version 4.0.4. Elle se manifeste par un défaut de gestion des chemins dans la fonction onRegister, entraînant un doublement des chemins des middlewares lorsque ceux-ci sont hérités par des plugins enfants. Ce problème permet un contournement complet des contrôles de sécurité des middlewares Express pour les routes définies dans les plugins enfants partageant un préfixe avec les middlewares parents, sans configuration particulière requise. La version 4.0.5 corrige cette faille.
La vulnérabilité CVE-2026-33807 dans @fastify/express v4.0.4 réside dans un problème de gestion des chemins à l'intérieur de la fonction onRegister. Cette fonction, responsable de l'enregistrement des plugins, duplique incorrectement les chemins des middlewares lorsqu'ils sont hérités par des plugins enfants. Par conséquent, les contrôles de sécurité Express pour les middlewares sont complètement contournés pour toutes les routes définies dans le périmètre des plugins enfants qui partagent un préfixe avec les middlewares du plugin parent. Aucune configuration spéciale n'est requise – cela affecte la configuration par défaut de Fastify. Le score CVSS est de 9.1, ce qui indique une sévérité critique. Cette duplication de chemins permet de contourner les restrictions de sécurité, ouvrant potentiellement la voie à des attaques malveillantes.
Un attaquant pourrait exploiter cette vulnérabilité en créant un plugin enfant avec des routes qui partagent un préfixe avec le middleware enregistré dans le plugin parent. En raison de la duplication des chemins, les protections de sécurité appliquées au middleware du plugin parent ne seront pas appliquées aux routes du plugin enfant, permettant à l'attaquant de contourner ces protections et d'accéder potentiellement à des ressources ou des fonctionnalités non autorisées. La facilité d'exploitation et l'impact potentiel justifient la note de sévérité élevée du CVSS.
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à niveau vers la version 4.0.5 ou supérieure de @fastify/express. Cette version corrige l'erreur de gestion des chemins à l'intérieur de la fonction onRegister, empêchant la duplication des chemins de middleware et restaurant une application correcte des contrôles de sécurité Express. L'application rapide de cette mise à jour est fortement recommandée pour atténuer le risque d'exploitation. De plus, examinez la configuration de vos plugins enfants pour vous assurer qu'aucune route vulnérable n'est utilisée, bien que la mise à niveau vers la version corrigée reste la principale mesure de correction.
Actualice a la versión 4.0.5 o superior de @fastify/express para corregir la vulnerabilidad. Esta actualización soluciona un error en el manejo de rutas que permitía eludir los controles de seguridad de Express, como la autenticación y la autorización, en plugins secundarios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cela signifie que le même chemin de middleware est enregistré deux fois, ce qui fait que les protections de sécurité appliquées à la première instance ne s'appliquent pas à la seconde.
Vérifiez la version de @fastify/express que vous utilisez. Si c'est v4.0.4 ou antérieure, votre application est vulnérable.
Bien que non recommandé, examinez attentivement la configuration de vos plugins enfants pour identifier les routes potentiellement vulnérables et appliquer des mesures de sécurité supplémentaires.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais les audits de sécurité et les tests d'intrusion sont recommandés.
CVSS (Common Vulnerability Scoring System) est un standard pour évaluer la gravité des vulnérabilités. Un score de 9.1 indique une vulnérabilité critique qui nécessite une attention immédiate.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.