プラットフォーム
nodejs
コンポーネント
node.js
修正版
9.1.1
9.1.1
CVE-2026-6410 は、@fastify/static プラグインのディレクトリリスティング機能におけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は Node.js プロセスがアクセス可能なディレクトリのファイル名やディレクトリ構造を不正に取得できる可能性があります。影響を受けるバージョンは @fastify/static 8.0.0 から 9.1.0 です。9.1.1 へのアップデート、または list オプションを削除することで、この脆弱性を修正できます。
CVE-2026-6410 は @fastify/static のバージョン 8.0.0 から 9.1.0 までに影響を与えます。これにより、認証されていないリモート攻撃者が、Node.js プロセスからアクセス可能な任意のディレクトリのディレクトリリストを取得できるようになります。これは、dirList.path() 関数内の欠陥によるもので、適切なコンテインメント チェックなしに path.join() を使用してディレクトリを解決します。ファイルの内容は開示されませんが、ディレクトリとファイル名の公開は、アプリケーションの構造に関する機密情報を収集し、さらなる攻撃を容易にするために使用される可能性があります。CVSS の深刻度は 5.3 であり、迅速な対応を必要とする中程度のリスクを示しています。
攻撃者は、@fastify/static を使用して 'list' オプションを有効にした Fastify アプリケーションに、慎重に作成された HTTP リクエストを送信することで、この脆弱性を悪用する可能性があります。要求されたパスを操作することで、攻撃者は dirList.path() 関数を欺き、構成されたルートディレクトリ外のディレクトリを解決し、その結果、ディレクトリの内容を明らかにすることができます。認証がないため、誰でもリモートでこの脆弱性を悪用しようとする可能性があります。悪用の難易度は低く、高度な技術スキルや特権アクセスは必要ありません。
Applications utilizing @fastify/static versions 8.0.0 through 9.1.0 with directory listing enabled are at risk. This includes Node.js applications serving static assets, particularly those deployed in production environments where security is paramount. Shared hosting environments using this plugin are also at increased risk due to the potential for cross-tenant exploitation.
• nodejs / server:
find / -name "@fastify/static" -exec grep -i 'dirList.path()' {} + | grep -i 'path.join()' • nodejs / server:
ps aux | grep -i '@fastify/static' | grep -i 'list: true'• generic web:
Use curl or wget to check for directory listing endpoints (e.g., /static/). A successful listing indicates potential exposure.
disclosure
エクスプロイト状況
EPSS
0.02% (6% パーセンタイル)
CISA SSVC
CVSS ベクトル
推奨される解決策は、@fastify/static の依存関係をバージョン 9.1.1 以降にアップグレードすることです。このバージョンは、dirList.path() 関数内で適切なコンテインメント チェックを実装することで、この脆弱性を修正します。これにより、構成されたルートディレクトリ外のディレクトリの解決が防止されます。特に本番環境では、迅速なアップグレードをお勧めします。また、直ちにアップグレードできない場合は、@fastify/static の 'list' オプションを無効にすると、一時的な軽減策となりますが、これによりディレクトリリスト機能が制限されます。
Actualice el paquete @fastify/static a la versión 9.1.1 o superior para solucionar la vulnerabilidad de path traversal. Como alternativa, desactive el listado de directorios eliminando la opción 'list' de la configuración del plugin.
脆弱性分析と重要アラートをメールでお届けします。
'Path traversal' は、アプリケーションの意図されたルートディレクトリ外のファイルまたはディレクトリにアクセスできるセキュリティ脆弱性の種類です。
はい、この脆弱性は、影響を受けるバージョンで @fastify/static を使用し、'list' オプションを有効にしているすべての環境に影響を与えます。
一時的な軽減策として、@fastify/static の 'list' オプションを無効にします。ただし、これによりディレクトリリスト機能が制限されます。
静的および動的セキュリティ分析ツールを使用して、この脆弱性を検出できます。アップグレード後、完全なセキュリティスキャンを実行することをお勧めします。
コマンドラインで npm list @fastify/static コマンドを使用して、バージョンを確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。