Platform
nodejs
Component
@fastify/middie
Opgelost in
9.3.2
9.3.2
CVE-2026-33804 affects versions 0.0.0 through 9.3.2 of the @fastify/middie middleware package for Node.js. A normalization gap exists where Fastify's router handles duplicate slashes, but @fastify/middie does not, allowing attackers to bypass middleware using URLs with duplicate leading slashes. Upgrade to version 9.3.2 to resolve this vulnerability.
De CVE-2026-33804 kwetsbaarheid in @fastify/middie (v9.3.1 en eerder) ontstaat door een discrepantie in de manier waarop de ignoreDuplicateSlashes optie wordt behandeld. Terwijl de router van Fastify dubbele slashes normaliseert, doet middie dit niet wanneer het is geconfigureerd via de top-level configuratiestijl (fastify({ ignoreDuplicateSlashes: true })). Dit creëert een normaliseringsgat, waardoor een aanvaller middleware kan omzeilen door URL's te gebruiken met dubbele leidende slashes (bijv. //admin/secret). Deze kwetsbaarheid treft alleen applicaties die nog steeds deze verouderde top-level configuratiestijl gebruiken.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een URL te creëren met dubbele slashes aan het begin van een route die wordt beschermd door middleware. Omdat middie deze slashes niet normaliseert, wordt de middleware mogelijk niet uitgevoerd, waardoor de aanvaller toegang krijgt tot beperkte resources of functionaliteit. De waarschijnlijkheid van uitbuiting hangt af van het feit of de applicatie de verouderde configuratiestijl gebruikt en of er gevoelige routes zijn die worden beschermd door middleware.
Node.js applications utilizing the deprecated top-level configuration for @fastify/middie are at risk. This includes applications that have not been updated to use the routerOptions configuration style and rely on the ignoreDuplicateSlashes option for URL normalization.
• nodejs / server:
npm list @fastify/middie• nodejs / server:
npm audit @fastify/middie• nodejs / server:
Check application configuration files for ignoreDuplicateSlashes: true at the top level.
disclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De oplossing is om @fastify/middie te updaten naar versie 9.3.2 of hoger. Deze versie corrigeert het probleem door ervoor te zorgen dat middie de ignoreDuplicateSlashes optie correct leest en toepast, ongeacht waar deze is geconfigureerd. Als u nog steeds de verouderde top-level configuratiestijl gebruikt, raden we ten zeerste aan om over te stappen op de standaard router configuratie om deze en andere potentiële kwetsbaarheden te vermijden. Bekijk bovendien uw code om afhankelijkheden van de top-level ignoreDuplicateSlashes optie te identificeren en dienovereenkomstig aan te passen.
Actualice a la versión 9.3.2 de @fastify/middie para solucionar esta vulnerabilidad. La vulnerabilidad se produce debido a una lógica de coincidencia de rutas de middleware que no considera la normalización de barras duplicadas. No existen soluciones alternativas más allá de deshabilitar la opción obsoleta ignoreDuplicateSlashes.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een optie die aangeeft of dubbele slashes aan het begin van een URL moeten worden genormaliseerd. Fastify doet dit standaard, maar middie behandelde het niet correct in kwetsbare versies.
Nee. Het treft alleen applicaties die de verouderde top-level configuratiestijl fastify({ ignoreDuplicateSlashes: true }) gebruiken.
Controleer de versie van @fastify/middie die u gebruikt en of u ignoreDuplicateSlashes op het hoogste niveau configureert tijdens de initialisatie van Fastify.
Als tijdelijke maatregel, vermijd het gebruik van URL's met dubbele slashes aan het begin van gevoelige routes.
Raadpleeg het CVE-2026-33804 rapport en de @fastify/middie release notes voor meer details.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.