प्लेटफ़ॉर्म
nodejs
घटक
@fastify/middie
में ठीक किया गया
9.3.2
9.3.2
CVE-2026-6270 describes an Authentication Bypass vulnerability in the @fastify/middie middleware library for Node.js. This flaw allows attackers to circumvent middleware security controls, potentially compromising sensitive data and system functionality. The vulnerability affects versions 0.0.0 through 9.3.2 of @fastify/middie, and a fix is available in version 9.3.2.
CVE-2026-6270 @fastify/middie के संस्करण 9.3.1 और उससे पहले को प्रभावित करता है। यह भेद्यता तब होती है जब चाइल्ड प्लगइन स्कोप में मध्यवर्ती पथों को प्रसारित करते समय मध्यवर्ती पथों को गलत तरीके से उपसर्ग किया जाता है। जब कोई चाइल्ड प्लगइन पैरेंट स्कोप में मध्यवर्ती पथ के साथ ओवरलैप होने वाले उपसर्ग के साथ पंजीकृत होता है, तो मध्यवर्ती पथ को चुपचाप संशोधित किया जाता है, जिससे यह आने वाले अनुरोधों से मेल नहीं खाता है। इससे प्रभावित चाइल्ड प्लगइन स्कोप के भीतर परिभाषित सभी रूटों (नेस्टेड (पोते) स्कोप सहित) के लिए मध्यवर्ती सुरक्षा नियंत्रण पूरी तरह से बाईपास हो जाते हैं। मध्यवर्ती पथों का मिलान न होना संवेदनशील डेटा के प्रकटीकरण या अनधिकृत कोड निष्पादन का कारण बन सकता है।
एक हमलावर चाइल्ड प्लगइन को पैरेंट स्कोप में मौजूदा मध्यवर्ती पथ के साथ ओवरलैप होने वाले उपसर्ग के साथ पंजीकृत करके इस भेद्यता का फायदा उठा सकता है। ऐसा करके, हमलावर चाइल्ड प्लगइन के भीतर परिभाषित रूटों के लिए मध्यवर्ती सुरक्षा नियंत्रण को बायपास कर सकता है, जिससे वे संरक्षित संसाधनों तक पहुंच सकते हैं या दुर्भावनापूर्ण कोड निष्पादित कर सकते हैं। जटिल प्लगइन आर्किटेक्चर का उपयोग करने वाले अनुप्रयोगों में शोषण अधिक संभावित है जिसमें कई चाइल्ड प्लगइन और ओवरलैपिंग मध्यवर्ती पथ हैं।
Applications built with Node.js and utilizing @fastify/middie for middleware management are at risk. This includes applications with complex plugin architectures and those relying heavily on middleware for security enforcement. Shared hosting environments where multiple applications share the same Node.js instance are particularly vulnerable, as a compromise in one application could potentially affect others.
• nodejs / server:
npm list @fastify/middieCheck for versions prior to 9.3.2. • nodejs / server:
npm audit @fastify/middieRun an npm audit to identify the vulnerability. • generic web: Review application logs for unusual request patterns or errors related to middleware execution, particularly within child plugin scopes.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
मुख्य शमन उपाय @fastify/middie को संस्करण 9.3.2 या उससे ऊपर के संस्करण में अपग्रेड करना है। यह संस्करण चाइल्ड प्लगइन स्कोप में मध्यवर्ती पथों को प्रसारित करते समय मध्यवर्ती पथों को सही ढंग से संभालने से इस समस्या को ठीक करता है। यदि तत्काल अपग्रेड संभव नहीं है, तो चाइल्ड प्लगइन कॉन्फ़िगरेशन की सावधानीपूर्वक समीक्षा करें ताकि मध्यवर्ती पथ उपसर्गों का कोई ओवरलैप न हो। किसी भी प्लगइन कॉन्फ़िगरेशन परिवर्तन के बाद पूरी तरह से सुरक्षा परीक्षण करना भी अनुशंसित है।
Actualice a la versión 9.3.2 o superior de @fastify/middie para solucionar la vulnerabilidad. Esta actualización corrige el problema de herencia de middleware, asegurando que la autenticación se aplique correctamente a todas las rutas, incluso en plugins secundarios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
@fastify/middie Fastify के लिए एक प्लगइन है जो मध्यवर्ती के एकीकरण को सरल करता है।
अपने प्रोजेक्ट में स्थापित @fastify/middie संस्करण की जांच करें। यदि यह 9.3.2 से कम है, तो आप संभावित रूप से प्रभावित हैं।
मध्यवर्ती पथ उपसर्गों के ओवरलैप से बचने के लिए अपने चाइल्ड प्लगइन कॉन्फ़िगरेशन की समीक्षा करें और पूरी तरह से सुरक्षा परीक्षण करें।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन प्लगइन कॉन्फ़िगरेशन की मैन्युअल समीक्षा की सिफारिश की जाती है।
इस भेद्यता को ठीक न करने से सुरक्षा नियंत्रणों को बायपास करना, संवेदनशील डेटा का प्रकटीकरण और अनधिकृत कोड निष्पादन हो सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।