Plateforme
nodejs
Composant
@fastify/middie
Corrigé dans
9.3.2
9.3.2
La vulnérabilité CVE-2026-6270 affecte la bibliothèque @fastify/middie, versions antérieures à 9.3.2. Elle permet un contournement d'authentification en raison d'une gestion incorrecte des chemins de middleware lors de la propagation à des plugins enfants. Cette faille peut entraîner un contournement complet des contrôles de sécurité basés sur des middleware, y compris l'authentification et l'autorisation, pour les routes définies dans les plugins enfants affectés. La version 9.3.2 corrige ce problème.
CVE-2026-6270 affecte les versions 9.3.1 et antérieures de @fastify/middie. La vulnérabilité réside dans la manipulation incorrecte des chemins des middlewares lors de leur propagation aux scopes de plugins enfants. Lorsqu'un plugin enfant est enregistré avec un préfixe qui chevauche un chemin de middleware avec un scope parent, le chemin du middleware est modifié silencieusement, ce qui l'empêche de correspondre aux requêtes entrantes. Cela entraîne un contournement complet des contrôles de sécurité du middleware pour toutes les routes définies dans les scopes de plugins enfants affectés, y compris les scopes imbriqués (petits-enfants). L'absence de correspondance des chemins de middleware peut entraîner l'exposition de données sensibles ou l'exécution de code non autorisé.
Un attaquant pourrait exploiter cette vulnérabilité en enregistrant un plugin enfant avec un préfixe qui chevauche un chemin de middleware existant dans le scope parent. En faisant cela, l'attaquant pourrait contourner les contrôles de sécurité du middleware pour les routes définies dans le plugin enfant, lui permettant d'accéder à des ressources protégées ou d'exécuter du code malveillant. L'exploitation est plus probable dans les applications utilisant une architecture de plugin complexe avec plusieurs plugins enfants et des chemins de middleware chevauchants.
Applications built with Node.js and utilizing @fastify/middie for middleware management are at risk. This includes applications with complex plugin architectures and those relying heavily on middleware for security enforcement. Shared hosting environments where multiple applications share the same Node.js instance are particularly vulnerable, as a compromise in one application could potentially affect others.
• nodejs / server:
npm list @fastify/middieCheck for versions prior to 9.3.2. • nodejs / server:
npm audit @fastify/middieRun an npm audit to identify the vulnerability. • generic web: Review application logs for unusual request patterns or errors related to middleware execution, particularly within child plugin scopes.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
L'atténuation principale consiste à mettre à niveau vers la version 9.3.2 ou ultérieure de @fastify/middie. Cette version corrige le problème en gérant correctement les chemins de middleware lors de leur propagation aux scopes de plugins enfants. Si une mise à niveau immédiate n'est pas possible, examinez attentivement la configuration des plugins enfants pour vous assurer qu'il n'y a pas de chevauchements de préfixes de chemins de middleware. Des tests de sécurité approfondis après toute modification de la configuration des plugins sont également recommandés.
Actualice a la versión 9.3.2 o superior de @fastify/middie para solucionar la vulnerabilidad. Esta actualización corrige el problema de herencia de middleware, asegurando que la autenticación se aplique correctamente a todas las rutas, incluso en plugins secundarios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
@fastify/middie est un plugin pour Fastify qui simplifie l'intégration des middlewares.
Vérifiez la version de @fastify/middie installée dans votre projet. Si elle est inférieure à 9.3.2, vous êtes potentiellement affecté.
Examinez la configuration de vos plugins enfants pour éviter les chevauchements de préfixes de chemins de middleware et effectuez des tests de sécurité approfondis.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais une revue manuelle de la configuration des plugins est recommandée.
Le non-correction de cette vulnérabilité peut entraîner un contournement des contrôles de sécurité, l'exposition de données sensibles et l'exécution de code non autorisé.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.