Platform
nodejs
Component
@fastify/middie
Opgelost in
9.3.2
9.3.2
CVE-2026-6270 describes an Authentication Bypass vulnerability in the @fastify/middie middleware library for Node.js. This flaw allows attackers to circumvent middleware security controls, potentially compromising sensitive data and system functionality. The vulnerability affects versions 0.0.0 through 9.3.2 of @fastify/middie, and a fix is available in version 9.3.2.
CVE-2026-6270 treft versies 9.3.1 en eerder van @fastify/middie. De kwetsbaarheid zit in de onjuiste bewerking van middleware-paden wanneer deze worden doorgegeven aan child plugin scopes. Wanneer een child plugin wordt geregistreerd met een prefix die overlapt met een middleware-pad in de parent scope, wordt het middleware-pad stilletjes gewijzigd, waardoor het niet meer overeenkomt met inkomende verzoeken. Dit resulteert in een volledige omzeiling van middleware-beveiligingscontroles voor alle routes die zijn gedefinieerd binnen de getroffen child plugin scopes, inclusief geneste (kleinkind-)scopes. Het niet-overeenkomen van middleware-paden kan leiden tot de blootstelling van gevoelige gegevens of de uitvoering van ongeautoriseerde code.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een child plugin te registreren met een prefix die overlapt met een bestaand middleware-pad in de parent scope. Hierdoor kan de aanvaller de middleware-beveiligingscontroles omzeilen voor routes die zijn gedefinieerd binnen de child plugin, waardoor ze toegang kunnen krijgen tot beschermde resources of kwaadaardige code kunnen uitvoeren. Exploitatie is waarschijnlijker in applicaties die een complexe plugin-architectuur gebruiken met meerdere child plugins en overlappende middleware-paden.
Applications built with Node.js and utilizing @fastify/middie for middleware management are at risk. This includes applications with complex plugin architectures and those relying heavily on middleware for security enforcement. Shared hosting environments where multiple applications share the same Node.js instance are particularly vulnerable, as a compromise in one application could potentially affect others.
• nodejs / server:
npm list @fastify/middieCheck for versions prior to 9.3.2. • nodejs / server:
npm audit @fastify/middieRun an npm audit to identify the vulnerability. • generic web: Review application logs for unusual request patterns or errors related to middleware execution, particularly within child plugin scopes.
disclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 9.3.2 of hoger van @fastify/middie. Deze versie corrigeert het probleem door middleware-paden correct te verwerken wanneer ze worden doorgegeven aan child plugin scopes. Als een onmiddellijke upgrade niet mogelijk is, controleer dan zorgvuldig de configuratie van child plugins om ervoor te zorgen dat er geen overlappende middleware-pad prefixes zijn. Het uitvoeren van grondige beveiligingstests na wijzigingen in de plugin-configuratie wordt ook aanbevolen.
Actualice a la versión 9.3.2 o superior de @fastify/middie para solucionar la vulnerabilidad. Esta actualización corrige el problema de herencia de middleware, asegurando que la autenticación se aplique correctamente a todas las rutas, incluso en plugins secundarios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
@fastify/middie is een plugin voor Fastify die de integratie van middleware vereenvoudigt.
Controleer de versie van @fastify/middie die in uw project is geïnstalleerd. Als deze kleiner is dan 9.3.2, bent u mogelijk getroffen.
Controleer de configuratie van uw child plugins om overlappende middleware-pad prefixes te voorkomen en voer grondige beveiligingstests uit.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar een handmatige controle van de plugin-configuratie wordt aanbevolen.
Het niet verhelpen van deze kwetsbaarheid kan leiden tot het omzeilen van beveiligingscontroles, de blootstelling van gevoelige gegevens en de uitvoering van ongeautoriseerde code.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.