プラットフォーム
nodejs
コンポーネント
@fastify/express
修正版
4.0.5
4.0.5
この脆弱性は、@fastify/expressのv4.0.4以下のバージョンにおいて、onRegister関数におけるパス処理のバグが原因で発生します。このバグにより、子プラグインから継承されるミドルウェアパスが重複し、親スコープのミドルウェアと共通のプレフィックスを持つ子プラグインの範囲内のすべてのルートに対して、Expressのミドルウェアセキュリティ制御が完全にバイパスされてしまいます。特別な設定は不要で、デフォルトのFastify構成に影響を与えます。バージョン4.0.5で修正されています。
CVE-2026-33807 は、@fastify/express v4.0.4 の onRegister 関数におけるパス処理のバグです。この関数はプラグイン登録を担当しており、子プラグインによって継承される場合に、ミドルウェアのパスを誤って複製します。その結果、親スコープのミドルウェアと共通のプレフィックスを共有する子プラグインのスコープ内で定義されたすべてのルートに対して、Express のセキュリティコントロールが完全にバイパスされます。特別な構成は必要ありません。これはデフォルトの Fastify の構成に影響します。CVSS スコアは 9.1 で、重大度がクリティカルであることを示しています。このパスの複製により、セキュリティ制限を回避でき、悪意のある攻撃の可能性が開かれます。
攻撃者は、親プラグインで登録されているミドルウェアと共通のプレフィックスを共有するルートを持つ子プラグインを作成することで、この脆弱性を悪用できます。パスの複製により、親プラグインのミドルウェアに適用されるセキュリティ保護が子プラグインのルートには適用されず、攻撃者がこれらの保護を回避し、不正なリソースまたは機能にアクセスする可能性があります。悪用の容易さと潜在的な影響は、CVSS の高い重大度評価を正当化します。
エクスプロイト状況
EPSS
0.02% (6% パーセンタイル)
CISA SSVC
この脆弱性の解決策は、@fastify/express をバージョン 4.0.5 以降にアップグレードすることです。このバージョンは、onRegister 関数内のパス処理エラーを修正し、ミドルウェアパスの複製を防ぎ、Express のセキュリティコントロールの適切な適用を復元します。このアップデートを迅速に適用することを強くお勧めします。さらに、子プラグインの構成を確認して、脆弱なルートが使用されていないことを確認してください。ただし、パッチが適用されたバージョンへのアップグレードが主な修正手段です。
Actualice a la versión 4.0.5 o superior de @fastify/express para corregir la vulnerabilidad. Esta actualización soluciona un error en el manejo de rutas que permitía eludir los controles de seguridad de Express, como la autenticación y la autorización, en plugins secundarios.
脆弱性分析と重要アラートをメールでお届けします。
同じミドルウェアパスが 2 回登録されることを意味します。これにより、最初のインスタンスに適用されるセキュリティ保護が 2 番目のインスタンスには適用されなくなります。
使用している @fastify/express のバージョンを確認してください。バージョンが v4.0.4 以前の場合、アプリケーションは脆弱です。
推奨されませんが、子プラグインの構成を注意深く確認して、潜在的に脆弱なルートを特定し、追加のセキュリティ対策を講じてください。
現在、この脆弱性を検出するための特定のツールはありませんが、セキュリティ監査とペネトレーションテストをお勧めします。
CVSS (Common Vulnerability Scoring System) は、脆弱性の重大度を評価するための標準です。9.1 のスコアは、緊急の注意を要する重大な脆弱性を示します。
CVSS ベクトル