Plateforme
nodejs
Composant
node.js
Corrigé dans
9.1.1
9.1.1
La vulnérabilité CVE-2026-6410 est une faille de type Path Traversal affectant les versions de @fastify/static comprises entre 8.0.0 et 9.1.0. Cette faille permet à un attaquant non authentifié d'accéder à des répertoires arbitraires accessibles au processus Node.js, exposant ainsi les noms de fichiers et de répertoires. La mise à jour vers la version 9.1.1 corrige cette vulnérabilité, ou la désactivation de l'énumération de répertoires constitue une solution de contournement.
La vulnérabilité CVE-2026-6410 dans @fastify/static affecte les versions 8.0.0 à 9.1.0. Elle permet à un attaquant distant non authentifié d'obtenir des listes de répertoires arbitraires accessibles au processus Node.js. Cela est dû à un défaut dans la fonction dirList.path() qui utilise path.join() pour résoudre les répertoires sans vérification de confinement appropriée. Bien que le contenu des fichiers ne soit pas divulgué, l'exposition des noms de répertoires et de fichiers peut être utilisée pour recueillir des informations sensibles sur la structure de l'application et faciliter potentiellement d'autres attaques. La sévérité CVSS est de 5,3, ce qui indique un risque modéré nécessitant une attention immédiate.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes HTTP soigneusement conçues à une application Fastify utilisant @fastify/static avec l'option 'list' activée. En manipulant le chemin demandé, l'attaquant peut tromper la fonction dirList.path() pour qu'elle résolve des répertoires en dehors du répertoire racine configuré, révélant ainsi le contenu du répertoire. L'absence d'authentification signifie que tout utilisateur distant peut tenter d'exploiter cette vulnérabilité. La difficulté d'exploitation est faible, car elle ne nécessite pas de compétences techniques avancées ni d'accès privilégié.
Applications utilizing @fastify/static versions 8.0.0 through 9.1.0 with directory listing enabled are at risk. This includes Node.js applications serving static assets, particularly those deployed in production environments where security is paramount. Shared hosting environments using this plugin are also at increased risk due to the potential for cross-tenant exploitation.
• nodejs / server:
find / -name "@fastify/static" -exec grep -i 'dirList.path()' {} + | grep -i 'path.join()' • nodejs / server:
ps aux | grep -i '@fastify/static' | grep -i 'list: true'• generic web:
Use curl or wget to check for directory listing endpoints (e.g., /static/). A successful listing indicates potential exposure.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à niveau la dépendance @fastify/static à la version 9.1.1 ou supérieure. Cette version corrige la vulnérabilité en implémentant une vérification de confinement appropriée dans la fonction dirList.path(), empêchant la résolution de répertoires en dehors du répertoire racine configuré. Une mise à niveau immédiate est recommandée, en particulier dans les environnements de production. Alternativement, désactiver l'option 'list' dans @fastify/static est une mesure d'atténuation temporaire si la mise à niveau immédiate n'est pas possible, bien que cela limite la fonctionnalité de listage de répertoires.
Actualice el paquete @fastify/static a la versión 9.1.1 o superior para solucionar la vulnerabilidad de path traversal. Como alternativa, desactive el listado de directorios eliminando la opción 'list' de la configuración del plugin.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le path traversal est un type de vulnérabilité de sécurité qui permet à un attaquant d'accéder à des fichiers ou des répertoires en dehors du répertoire racine prévu d'une application.
Oui, la vulnérabilité affecte tous les environnements utilisant @fastify/static dans les versions concernées et avec l'option 'list' activée.
En tant que mesure d'atténuation temporaire, désactivez l'option 'list' dans @fastify/static. Cependant, cela limitera la fonctionnalité de listage de répertoires.
Des outils d'analyse de sécurité statique et dynamique peuvent détecter cette vulnérabilité. Un examen de sécurité complet est recommandé après la mise à niveau.
Vous pouvez vérifier la version en utilisant la commande npm list @fastify/static dans la ligne de commande.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.