Platform
nodejs
Component
@fastify/express
Opgelost in
4.0.5
4.0.5
CVE-2026-33807 is een authenticatie bypass kwetsbaarheid ontdekt in de @fastify/express bibliotheek, specifiek in versies tot en met 4.0.4. Deze kwetsbaarheid ontstaat door een fout in de path handling binnen de onRegister functie, waardoor middleware paden worden verdubbeld bij het gebruik van child plugins. Dit resulteert in een volledige omzeiling van Express middleware beveiligingscontroles voor routes die een prefix delen met parent-scoped middleware. Een update naar versie 4.0.5 is beschikbaar om deze kwetsbaarheid te verhelpen.
CVE-2026-33807 in @fastify/express v4.0.4 zit in een padbehandelingsfout binnen de functie onRegister. Deze functie, die verantwoordelijk is voor pluginregistratie, dupliceert paden van middleware onjuist wanneer deze worden overgenomen door subplugins. Hierdoor worden beveiligingscontroles van Express voor middleware volledig omzeild voor alle routes die zijn gedefinieerd binnen de scope van subplugins die een prefix delen met de middleware van de bovenliggende plugin. Er is geen speciale configuratie vereist – dit heeft invloed op de standaard Fastify-configuratie. De CVSS-score is 9,1, wat een kritieke ernst aangeeft. Deze padduplicatie maakt het omzeilen van beveiligingsbeperkingen mogelijk, waardoor potentieel de deur wordt geopend naar kwaadaardige aanvallen.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een subplugin te maken met routes die een prefix delen met de middleware die is geregistreerd in de bovenliggende plugin. Vanwege de padduplicatie worden de beveiligingsbeschermingen die op de middleware van de bovenliggende plugin worden toegepast, niet op de routes van de subplugin toegepast, waardoor de aanvaller deze beschermingen kan omzeilen en mogelijk ongeautoriseerde bronnen of functionaliteiten kan benaderen. De eenvoud van uitbuiting en de potentiële impact rechtvaardigen de hoge CVSS-ernstscore.
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om te upgraden naar versie 4.0.5 of hoger van @fastify/express. Deze versie corrigeert de fout in de padbehandeling binnen de functie onRegister, waardoor de duplicatie van middlewarepaden wordt voorkomen en de juiste toepassing van Express-beveiligingscontroles wordt hersteld. Het onmiddellijk toepassen van deze update wordt ten zeerste aanbevolen om het risico op uitbuiting te beperken. Controleer bovendien de configuratie van uw subplugins om ervoor te zorgen dat er geen kwetsbare routes in gebruik zijn, hoewel het upgraden naar de gepatchte versie de primaire oplossing blijft.
Actualice a la versión 4.0.5 o superior de @fastify/express para corregir la vulnerabilidad. Esta actualización soluciona un error en el manejo de rutas que permitía eludir los controles de seguridad de Express, como la autenticación y la autorización, en plugins secundarios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het betekent dat hetzelfde middlewarepad twee keer wordt geregistreerd, waardoor de beveiligingsbeschermingen die op de eerste instantie worden toegepast, niet op de tweede van toepassing zijn.
Controleer de versie van @fastify/express die u gebruikt. Als het v4.0.4 of eerder is, is uw applicatie kwetsbaar.
Hoewel niet aanbevolen, moet u zorgvuldig de configuratie van uw subplugins controleren om potentiële kwetsbare routes te identificeren en aanvullende beveiligingsmaatregelen te treffen.
Momenteel zijn er geen specifieke tools voor het detecteren van deze kwetsbaarheid, maar beveiligingsaudits en penetratietests worden aanbevolen.
CVSS (Common Vulnerability Scoring System) is een standaard voor het evalueren van de ernst van kwetsbaarheden. Een score van 9,1 duidt op een kritieke kwetsbaarheid die onmiddellijke aandacht vereist.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.