प्लेटफ़ॉर्म
nodejs
घटक
@fastify/static
में ठीक किया गया
9.1.1
9.1.1
CVE-2026-6414 @fastify/static में एक सुरक्षा भेद्यता है, जहां प्रतिशत-एन्कोडेड पथ सेपरेटर (जैसे %2F) को फ़ाइल सिस्टम रिज़ॉल्यूशन से पहले डिकोड किया जाता है, लेकिन Fastify के राउटर उन्हें शाब्दिक वर्णों के रूप में मानते हैं। इससे रूटिंग में बेमेल होता है, जिससे रूट-आधारित मिडलवेयर या गार्ड को बाईपास किया जा सकता है। यह भेद्यता @fastify/static के संस्करण 8.0.0 से 9.1.1 तक के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, @fastify/static को 9.1.1 या बाद के संस्करण में अपग्रेड करें।
CVE-2026-6414 @fastify/static (संस्करण 9.1.0 और पहले) में रूट-आधारित एक्सेस नियंत्रण को बाईपास करने की अनुमति देता है। समस्या यह है कि @fastify/static फ़ाइल सिस्टम रिज़ॉल्यूशन से पहले प्रतिशत-एन्कोडेड पाथ सेपरेटर (%2F) को डिकोड करता है, जबकि Fastify का राउटर उन्हें शाब्दिक वर्णों के रूप में मानता है। इससे रूटिंग में मिसमैच होता है: उदाहरण के लिए, /admin/* जैसे रूट गार्ड /admin%2Fsecret.html से मेल नहीं खाते हैं, लेकिन @fastify/static इसे /admin/secret.html में डिकोड करता है और फ़ाइल को सर्व करता है। @fastify/static द्वारा सर्व की जाने वाली फ़ाइलों को रूट-आधारित मिडलवेयर या गार्ड से सुरक्षित रखने वाले एप्लिकेशन इस एन्कोडेड पाथ का उपयोग करके बाईपास किए जा सकते हैं।
एक हमलावर प्रतिशत-एन्कोडेड पाथ सेपरेटर वाले URL बनाकर इस भेद्यता का फायदा उठा सकता है। उदाहरण के लिए, यदि किसी एप्लिकेशन में /admin/ वाला एक संरक्षित रूट है, तो एक हमलावर /admin%2Fsecret.html तक पहुंचने का प्रयास कर सकता है। @fastify/static के शुरुआती डिकोडिंग के कारण, admin निर्देशिका में secret.html फ़ाइल परोसी जाएगी, भले ही /admin/ रूट मिडलवेयर या गार्ड द्वारा संरक्षित हो। यह तकनीक रूट-आधारित सुरक्षा को बाईपास करने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील जानकारी का खुलासा हो सकता है या संरक्षित संसाधनों तक अनधिकृत पहुंच की अनुमति मिल सकती है।
Applications built with Node.js that utilize @fastify/static for serving static files and rely on route-based middleware or guards to protect those files are at risk. This includes applications with custom route guards or those leveraging Fastify's built-in middleware for access control. Shared hosting environments where multiple applications share the same server and file system are particularly vulnerable.
• nodejs / server:
npm list @fastify/static• nodejs / server:
npm audit @fastify/static• nodejs / server: Check application logs for requests containing percent-encoded path separators (e.g., %2F) accessing files within protected directories.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVSS वेक्टर
समाधान @fastify/static को संस्करण 9.1.1 या उच्चतर में अपग्रेड करना है। यह संस्करण Fastify के राउटर के साथ लगातार प्रतिशत-एन्कोडेड पाथ सेपरेटर को हैंडल करके इस भेद्यता को ठीक करता है। इस बीच, एक अस्थायी उपाय के रूप में, संवेदनशील फ़ाइलों तक पहुंच को मान्य और प्रतिबंधित करने के लिए एप्लिकेशन स्तर पर अतिरिक्त एक्सेस नियंत्रण लागू करें, भले ही रूट राउटर द्वारा संरक्षित प्रतीत हो। @fastify/static के डिफ़ॉल्ट व्यवहार पर पूरी तरह निर्भर न रहकर रूट कॉन्फ़िगरेशन और सुरक्षा की सावधानीपूर्वक समीक्षा करना महत्वपूर्ण है।
Actualice a la versión 9.1.1 de @fastify/static para solucionar la vulnerabilidad. Esta versión corrige el problema al manejar correctamente los separadores de ruta codificados, evitando el bypass de las protecciones de ruta. No existen soluciones alternativas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
9.1.1 से पहले के सभी संस्करण CVE-2026-6414 के प्रति संवेदनशील हैं।
इंस्टॉल किए गए संस्करण की जांच करने के लिए npm list @fastify/static या yarn list @fastify/static कमांड का उपयोग करें।
संवेदनशील फ़ाइलों तक पहुंच को मान्य और प्रतिबंधित करने के लिए एप्लिकेशन स्तर पर अतिरिक्त एक्सेस नियंत्रण लागू करें।
वे फ़ाइलें जो रूट द्वारा संरक्षित निर्देशिकाओं में स्थित हैं और जिनमें संवेदनशील जानकारी हो सकती है या अनधिकृत क्रियाओं की अनुमति मिल सकती है।
यह केवल उन एप्लिकेशन को प्रभावित करता है जो @fastify/static द्वारा प्रदान की जाने वाली फ़ाइलों को सुरक्षित रखने के लिए रूट सुरक्षा पर निर्भर करते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।