Plateforme
nodejs
Composant
@fastify/static
Corrigé dans
9.1.1
9.1.1
La vulnérabilité CVE-2026-6414 affecte le package @fastify/static dans les versions comprises entre 8.0.0 et 9.1.1. Un attaquant peut contourner les gardes de route en encodant les séparateurs de chemin d'accès dans l'URL. Cette vulnérabilité est due à un traitement incorrect des caractères encodés en pourcentage. La mise à jour vers la version 9.1.1 corrige ce problème.
La vulnérabilité CVE-2026-6414 dans @fastify/static (versions 9.1.0 et antérieures) permet de contourner les contrôles d'accès basés sur les routes. Le problème réside dans le fait que @fastify/static décode les séparateurs de chemin codés en pourcentage (%2F) avant la résolution du système de fichiers, tandis que le routeur Fastify les traite comme des caractères littéraux. Cela crée un décalage : les gardes de route tels que /admin/* ne correspondent pas à /admin%2Fsecret.html, mais @fastify/static le décode en /admin/secret.html et sert le fichier. Les applications qui s'appuient sur des middleware ou des gardes basés sur les routes pour protéger les fichiers servis par @fastify/static peuvent être contournées en utilisant ce chemin encodé.
Un attaquant pourrait exploiter cette vulnérabilité en créant des URL avec des séparateurs de chemin codés en pourcentage. Par exemple, si une application a une route protégée /admin/, un attaquant pourrait tenter d'accéder à /admin%2Fsecret.html. En raison du décodage prématuré de @fastify/static, le fichier secret.html dans le répertoire admin serait servi, même si la route /admin/ est protégée par des middleware ou des gardes. Cette technique permet de contourner les protections basées sur les routes, exposant potentiellement des informations sensibles ou permettant un accès non autorisé à des ressources protégées.
Applications built with Node.js that utilize @fastify/static for serving static files and rely on route-based middleware or guards to protect those files are at risk. This includes applications with custom route guards or those leveraging Fastify's built-in middleware for access control. Shared hosting environments where multiple applications share the same server and file system are particularly vulnerable.
• nodejs / server:
npm list @fastify/static• nodejs / server:
npm audit @fastify/static• nodejs / server: Check application logs for requests containing percent-encoded path separators (e.g., %2F) accessing files within protected directories.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
Vecteur CVSS
La solution consiste à mettre à niveau vers la version 9.1.1 ou supérieure de @fastify/static. Cette version corrige la vulnérabilité en gérant de manière cohérente les séparateurs de chemin codés en pourcentage conformément au routeur Fastify. En attendant, comme mesure temporaire, mettez en œuvre des contrôles d'accès supplémentaires au niveau de l'application pour valider et restreindre l'accès aux fichiers sensibles, même si la route semble protégée par le routeur. Examinez attentivement la configuration des routes et des protections pour vous assurer qu'elles sont robustes et ne dépendent pas uniquement du comportement par défaut de @fastify/static.
Actualice a la versión 9.1.1 de @fastify/static para solucionar la vulnerabilidad. Esta versión corrige el problema al manejar correctamente los separadores de ruta codificados, evitando el bypass de las protecciones de ruta. No existen soluciones alternativas.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Toutes les versions antérieures à 9.1.1 sont vulnérables à CVE-2026-6414.
Utilisez la commande npm list @fastify/static ou yarn list @fastify/static pour vérifier la version installée.
Mettez en œuvre des contrôles d'accès supplémentaires au niveau de l'application pour valider et restreindre l'accès aux fichiers sensibles.
Les fichiers situés dans des répertoires protégés par des routes et qui pourraient contenir des informations sensibles ou permettre des actions non autorisées.
Elle n'affecte que les applications qui s'appuient sur les protections de route pour sécuriser les fichiers servis par @fastify/static.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.