CRITICALCVE-2026-6270CVSS 9.1

@fastify/middie は、子プラグインスコープ内でミドルウェア認証バイパスの脆弱性があります

プラットフォーム

nodejs

コンポーネント

@fastify/middie

修正版

9.3.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2026-6270 describes an Authentication Bypass vulnerability in the @fastify/middie middleware library for Node.js. This flaw allows attackers to circumvent middleware security controls, potentially compromising sensitive data and system functionality. The vulnerability affects versions 0.0.0 through 9.3.2 of @fastify/middie, and a fix is available in version 9.3.2.

影響と攻撃シナリオ

CVE-2026-6270 は、@fastify/middie のバージョン 9.3.1 以前に影響します。この脆弱性は、子プラグインスコープにミドルウェアパスを伝播する際に、ミドルウェアパスが誤って再プレフィックスされることにあります。子プラグインが、親スコープのミドルウェアパスと重複するプレフィックスで登録されると、ミドルウェアパスが静かに変更され、受信リクエストとの一致が妨げられます。これにより、影響を受ける子プラグインスコープ内の定義されたすべてのルート（ネストされた（孫）スコープを含む）のミドルウェアセキュリティコントロールが完全にバイパスされます。ミドルウェアパスの一致の失敗は、機密データの漏洩や不正なコードの実行につながる可能性があります。

悪用の状況

攻撃者は、親スコープ内の既存のミドルウェアパスと重複するプレフィックスで子プラグインを登録することで、この脆弱性を悪用する可能性があります。これにより、攻撃者は子プラグイン内で定義されたルートのミドルウェアセキュリティコントロールをバイパスし、保護されたリソースにアクセスしたり、悪意のあるコードを実行したりする可能性があります。複雑なプラグインアーキテクチャを使用し、複数の子プラグインと重複するミドルウェアパスがあるアプリケーションでの悪用がより可能性が高くなります。

リスク対象者翻訳中…

Applications built with Node.js and utilizing @fastify/middie for middleware management are at risk. This includes applications with complex plugin architectures and those relying heavily on middleware for security enforcement. Shared hosting environments where multiple applications share the same Node.js instance are particularly vulnerable, as a compromise in one application could potentially affect others.

検出手順翻訳中…

• nodejs / server:

  npm list @fastify/middie

Check for versions prior to 9.3.2. • nodejs / server:

  npm audit @fastify/middie

Run an npm audit to identify the vulnerability. • generic web: Review application logs for unusual request patterns or errors related to middleware execution, particularly within child plugin scopes.

攻撃タイムライン

2026-04-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.06% (18% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネント@fastify/middie

ベンダー@fastify/middie

影響範囲修正版

0.0.0 – 9.3.19.3.2

—9.3.2

弱点分類 (CWE)

CWE-436

タイムライン

予約済み2026-04-14
公開日2026-04-16
EPSS 更新日2026-04-24

緩和策と回避策

主な軽減策は、@fastify/middie をバージョン 9.3.2 以降にアップグレードすることです。このバージョンは、子プラグインスコープにミドルウェアパスを伝播する際に、ミドルウェアパスを適切に処理することで問題を修正します。即時のアップグレードが不可能な場合は、子プラグインの構成を注意深く確認し、ミドルウェアパスプレフィックスの重複がないことを確認してください。また、プラグイン構成の変更後には、徹底的なセキュリティテストを実施することをお勧めします。

修正方法翻訳中…

Actualice a la versión 9.3.2 o superior de @fastify/middie para solucionar la vulnerabilidad. Esta actualización corrige el problema de herencia de middleware, asegurando que la autenticación se aplique correctamente a todas las rutas, incluso en plugins secundarios.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-6270 とは何ですか？（@fastify/middie の Authentication Bypass）

@fastify/middie は、Fastify のミドルウェア統合を簡素化するプラグインです。

@fastify/middie の CVE-2026-6270 による影響を受けていますか？

プロジェクトにインストールされている @fastify/middie のバージョンを確認してください。バージョンが 9.3.2 未満の場合、影響を受ける可能性があります。

@fastify/middie の CVE-2026-6270 を修正するにはどうすればよいですか？

子プラグインの構成を確認し、ミドルウェアパスプレフィックスの重複を回避し、徹底的なセキュリティテストを実施してください。

CVE-2026-6270 は積極的に悪用されていますか？

現在、この脆弱性を検出するための特定のツールはありませんが、プラグイン構成を手動で確認することをお勧めします。

CVE-2026-6270 に関する @fastify/middie の公式アドバイザリはどこで確認できますか？

この脆弱性を修正しないと、セキュリティコントロールのバイパス、機密データの漏洩、不正なコードの実行につながる可能性があります。