Platform
nodejs
Component
node.js
Opgelost in
9.1.1
9.1.1
CVE-2026-6410 is een Path Traversal kwetsbaarheid in de @fastify/static plugin voor Node.js. Deze kwetsbaarheid stelt een aanvaller in staat om directory listings op te halen voor directories buiten de geconfigureerde root directory, waardoor gevoelige informatie over bestands- en directorynamen kan worden onthuld. De kwetsbaarheid treft versies 8.0.0 tot en met 9.1.0 van @fastify/static. Een fix is beschikbaar in versie 9.1.1.
CVE-2026-6410 in @fastify/static treft versies 8.0.0 tot 9.1.0. Het stelt een externe, niet-geauthenticeerde aanvaller in staat om directory listings van willekeurige directories op te halen die toegankelijk zijn voor het Node.js-proces. Dit komt door een fout in de dirList.path() functie, die path.join() gebruikt om directories op te lossen zonder een juiste containment-controle. Hoewel de inhoud van bestanden niet wordt onthuld, kan de blootstelling van directory- en bestandsnamen worden gebruikt om gevoelige informatie over de structuur van de applicatie te verzamelen en mogelijk verdere aanvallen te vergemakkelijken. De CVSS-severity is 5.3, wat een matig risico aangeeft dat onmiddellijke aandacht vereist.
Een aanvaller kan deze kwetsbaarheid uitbuiten door zorgvuldig samengestelde HTTP-verzoeken naar een Fastify-applicatie te sturen die @fastify/static gebruikt met de 'list'-optie ingeschakeld. Door het aangevraagde pad te manipuleren, kan de aanvaller de dirList.path() functie misleiden om directories buiten de geconfigureerde root-directory op te lossen, waardoor de inhoud van de directory wordt onthuld. Het ontbreken van authenticatie betekent dat elke externe gebruiker kan proberen deze kwetsbaarheid uit te buiten. De moeilijkheidsgraad van de exploitatie is laag, omdat er geen geavanceerde technische vaardigheden of geprivilegieerde toegang vereist is.
Applications utilizing @fastify/static versions 8.0.0 through 9.1.0 with directory listing enabled are at risk. This includes Node.js applications serving static assets, particularly those deployed in production environments where security is paramount. Shared hosting environments using this plugin are also at increased risk due to the potential for cross-tenant exploitation.
• nodejs / server:
find / -name "@fastify/static" -exec grep -i 'dirList.path()' {} + | grep -i 'path.join()' • nodejs / server:
ps aux | grep -i '@fastify/static' | grep -i 'list: true'• generic web:
Use curl or wget to check for directory listing endpoints (e.g., /static/). A successful listing indicates potential exposure.
disclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om de @fastify/static-afhankelijkheid bij te werken naar versie 9.1.1 of hoger. Deze versie corrigeert de kwetsbaarheid door een juiste containment-controle binnen de dirList.path() functie te implementeren, waardoor het oplossen van directories buiten de geconfigureerde root-directory wordt voorkomen. Een onmiddellijke update wordt aanbevolen, vooral in productieomgevingen. Alternatief is het uitschakelen van de 'list'-optie in @fastify/static een tijdelijke mitigatie als een onmiddellijke update niet mogelijk is, hoewel dit de directory listing-functionaliteit zal beperken.
Actualice el paquete @fastify/static a la versión 9.1.1 o superior para solucionar la vulnerabilidad de path traversal. Como alternativa, desactive el listado de directorios eliminando la opción 'list' de la configuración del plugin.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Path traversal is een type beveiligingskwetsbaarheid dat een aanvaller in staat stelt om toegang te krijgen tot bestanden of directories buiten de bedoelde root-directory van een applicatie.
Ja, de kwetsbaarheid treft alle omgevingen die @fastify/static gebruiken in de getroffen versies en met de 'list'-optie ingeschakeld.
Als tijdelijke mitigatie, schakel de 'list'-optie in @fastify/static uit. Dit zal echter de directory listing-functionaliteit beperken.
Statische en dynamische beveiligingsanalyse tools kunnen deze kwetsbaarheid detecteren. Een volledige beveiligingsscan wordt aanbevolen na de update.
U kunt de versie controleren met de opdracht npm list @fastify/static in de opdrachtregel.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.