Platform
nodejs
Component
@fastify/static
Opgelost in
9.1.1
9.1.1
CVE-2026-6414 affects versions 8.0.0 through 9.1.1 of the @fastify/static Node.js package. This vulnerability allows attackers to bypass route-based middleware and access protected files by exploiting a mismatch in how path separators are handled. The vulnerability was published on 2026-04-16, and a patch is available in version 9.1.1.
CVE-2026-6414 in @fastify/static (versies 9.1.0 en eerder) maakt het mogelijk om routegebaseerde toegangscontroles te omzeilen. Het probleem is dat @fastify/static percentage-gecodeerde padscheidingstekens (%2F) decodeert voordat het bestandssysteem wordt opgelost, terwijl de Fastify-router ze als letterlijke tekens behandelt. Dit creëert een discrepantie: routerwachten zoals /admin/* komen niet overeen met /admin%2Fsecret.html, maar @fastify/static decodeert deze naar /admin/secret.html en serveert het bestand. Applicaties die vertrouwen op routegebaseerde middleware of wachtfuncties om bestanden te beschermen die door @fastify/static worden geserveerd, kunnen worden omzeild met dit gecodeerde pad.
Een aanvaller kan deze kwetsbaarheid exploiteren door URL's te maken met percentage-gecodeerde padscheidingstekens. Als een applicatie bijvoorbeeld een beveiligde route /admin/ heeft, kan een aanvaller proberen toegang te krijgen tot /admin%2Fsecret.html. Vanwege de vroege decodering van @fastify/static zou het bestand secret.html in de map admin worden geserveerd, zelfs als de route /admin/ wordt beschermd door middleware of wachtfuncties. Deze techniek maakt het mogelijk om routegebaseerde beschermingen te omzeilen, waardoor mogelijk gevoelige informatie wordt blootgesteld of ongeautoriseerde toegang tot beveiligde resources wordt verleend.
Applications built with Node.js that utilize @fastify/static for serving static files and rely on route-based middleware or guards to protect those files are at risk. This includes applications with custom route guards or those leveraging Fastify's built-in middleware for access control. Shared hosting environments where multiple applications share the same server and file system are particularly vulnerable.
• nodejs / server:
npm list @fastify/static• nodejs / server:
npm audit @fastify/static• nodejs / server: Check application logs for requests containing percent-encoded path separators (e.g., %2F) accessing files within protected directories.
disclosure
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
CVSS-vector
De oplossing is om te upgraden naar versie 9.1.1 of hoger van @fastify/static. Deze versie corrigeert de kwetsbaarheid door percentage-gecodeerde padscheidingstekens consistent af te handelen in overeenstemming met de router van Fastify. In de tussentijd, als tijdelijke maatregel, implementeert u extra toegangscontroles op applicatieniveau om de toegang tot gevoelige bestanden te valideren en te beperken, zelfs als de route lijkt te worden beschermd door de router. Controleer de routeconfiguraties en -beschermingen zorgvuldig om ervoor te zorgen dat ze robuust zijn en niet uitsluitend vertrouwen op het standaardgedrag van @fastify/static.
Actualice a la versión 9.1.1 de @fastify/static para solucionar la vulnerabilidad. Esta versión corrige el problema al manejar correctamente los separadores de ruta codificados, evitando el bypass de las protecciones de ruta. No existen soluciones alternativas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Alle versies vóór 9.1.1 zijn kwetsbaar voor CVE-2026-6414.
Gebruik de opdracht npm list @fastify/static of yarn list @fastify/static om de geïnstalleerde versie te controleren.
Implementeer extra toegangscontroles op applicatieniveau om de toegang tot gevoelige bestanden te valideren en te beperken.
Bestanden die zich bevinden in mappen die worden beschermd door routes en die mogelijk gevoelige informatie bevatten of ongeautoriseerde acties mogelijk maken.
Het heeft alleen invloed op applicaties die vertrouwen op routebeschermingen om bestanden te beveiligen die door @fastify/static worden geserveerd.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.