प्लेटफ़ॉर्म
nodejs
घटक
@fastify/express
में ठीक किया गया
4.0.5
4.0.5
CVE-2026-33807 @fastify/express के संस्करण 4.0.4 और उससे पहले में एक प्रमाणीकरण बाईपास भेद्यता है। इस भेद्यता के कारण, चाइल्ड प्लगइन्स द्वारा विरासत में मिली मिडलवेयर पथों में दोहराव हो सकता है, जिससे एक्सप्रेस मिडलवेयर सुरक्षा नियंत्रणों को पूरी तरह से बाईपास किया जा सकता है। यह भेद्यता विशेष रूप से उन रूटों के लिए खतरनाक है जो चाइल्ड प्लगइन स्कोप के भीतर परिभाषित हैं और जो पैरेंट-स्कोप वाले मिडलवेयर के साथ उपसर्ग साझा करते हैं। संस्करण 4.0.5 में इस समस्या का समाधान किया गया है।
CVE-2026-33807 @fastify/express v4.0.4 में onRegister फ़ंक्शन में पाथ हैंडलिंग बग है। यह फ़ंक्शन प्लगइन पंजीकरण के लिए ज़िम्मेदार है, और जब चाइल्ड प्लगइन द्वारा इनहेरिट किया जाता है, तो यह गलत तरीके से मिडलवेयर पाथ को डुप्लिकेट करता है। नतीजतन, पैरेंट-स्कोप मिडलवेयर के साथ एक उपसर्ग साझा करने वाले चाइल्ड प्लगइन के दायरे में परिभाषित सभी रूट के लिए, Express सुरक्षा नियंत्रण पूरी तरह से बाईपास हो जाते हैं। किसी विशेष कॉन्फ़िगरेशन की आवश्यकता नहीं है - यह डिफ़ॉल्ट Fastify कॉन्फ़िगरेशन को प्रभावित करता है। CVSS स्कोर 9.1 है, जो गंभीर गंभीरता को दर्शाता है। यह पाथ डुप्लिकेशन सुरक्षा प्रतिबंधों को बायपास करने की अनुमति देता है, जिससे दुर्भावनापूर्ण हमलों के लिए दरवाजे खुल सकते हैं।
एक हमलावर एक चाइल्ड प्लगइन बनाकर इस भेद्यता का फायदा उठा सकता है जिसमें पैरेंट प्लगइन में पंजीकृत मिडलवेयर के साथ एक उपसर्ग साझा करने वाले रूट हों। पाथ डुप्लिकेशन के कारण, पैरेंट प्लगइन के मिडलवेयर पर लागू सुरक्षा सुरक्षा चाइल्ड प्लगइन के रूट पर लागू नहीं होगी, जिससे हमलावर इन सुरक्षाओं को बायपास कर सकता है और संभावित रूप से अनधिकृत संसाधनों या कार्यक्षमताओं तक पहुंच सकता है। शोषण में आसानी और संभावित प्रभाव CVSS के उच्च गंभीरता रेटिंग को सही ठहराते हैं।
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान @fastify/express को संस्करण 4.0.5 या उच्चतर में अपग्रेड करना है। यह संस्करण onRegister फ़ंक्शन में पाथ हैंडलिंग त्रुटि को ठीक करता है, मिडलवेयर पाथ डुप्लिकेशन को रोकता है और Express सुरक्षा नियंत्रणों के उचित अनुप्रयोग को पुनर्स्थापित करता है। शोषण के जोखिम को कम करने के लिए इस अपडेट को जल्द से जल्द लागू करने की पुरजोर अनुशंसा की जाती है। इसके अतिरिक्त, कमजोर रूट का उपयोग नहीं किया जा रहा है यह सुनिश्चित करने के लिए चाइल्ड प्लगइन के कॉन्फ़िगरेशन की जांच करें, हालांकि पैच किए गए संस्करण में अपग्रेड करना प्राथमिक निवारण उपाय बना हुआ है।
Actualice a la versión 4.0.5 o superior de @fastify/express para corregir la vulnerabilidad. Esta actualización soluciona un error en el manejo de rutas que permitía eludir los controles de seguridad de Express, como la autenticación y la autorización, en plugins secundarios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
इसका मतलब है कि एक ही मिडलवेयर पाथ को दो बार पंजीकृत किया जाता है, जिससे पहले उदाहरण पर लागू सुरक्षा सुरक्षा दूसरे उदाहरण पर लागू नहीं होती है।
आप जिस @fastify/express संस्करण का उपयोग कर रहे हैं, उसकी जांच करें। यदि यह v4.0.4 या उससे पहले का है, तो आपका एप्लिकेशन कमजोर है।
हालांकि इसकी अनुशंसा नहीं की जाती है, अपने चाइल्ड प्लगइन के कॉन्फ़िगरेशन की सावधानीपूर्वक जांच करें ताकि संभावित रूप से कमजोर रूट की पहचान की जा सके और अतिरिक्त सुरक्षा उपाय किए जा सकें।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन सुरक्षा ऑडिट और प्रवेश परीक्षण की सिफारिश की जाती है।
CVSS (Common Vulnerability Scoring System) भेद्यता की गंभीरता का मूल्यांकन करने के लिए एक मानक है। 9.1 का स्कोर एक गंभीर भेद्यता को इंगित करता है जिसके लिए तत्काल ध्यान देने की आवश्यकता होती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।