Plataforma
nodejs
Componente
@fastify/middie
Corrigido em
9.3.2
9.3.2
A vulnerabilidade CVE-2026-33804 afeta a biblioteca @fastify/middie devido a uma falha na leitura da opção ignoreDuplicateSlashes. Essa falha permite o bypass de middleware em aplicações que utilizam a configuração top-level, possibilitando o acesso a rotas protegidas através de URLs com slashes duplicados no início. A vulnerabilidade impacta versões da biblioteca de 0.0.0 até 9.3.2, sendo corrigida na versão 9.3.2.
A vulnerabilidade CVE-2026-33804 em @fastify/middie (versões v9.3.1 e anteriores) surge devido a uma inconsistência no tratamento da opção ignoreDuplicateSlashes. Enquanto o roteador do Fastify normaliza barras duplicadas, o middie não o faz quando configurado através do estilo de configuração de nível superior (obsoleto) fastify({ ignoreDuplicateSlashes: true }). Isso cria uma lacuna de normalização, permitindo que um atacante contorne o middleware usando URLs com barras duplicadas no início (por exemplo, //admin/secret). Esta vulnerabilidade afeta apenas aplicações que ainda utilizam este estilo de configuração obsoleto.
Um atacante pode explorar esta vulnerabilidade criando uma URL com barras duplicadas no início de uma rota protegida por middleware. Como o middie não normaliza essas barras, o middleware pode não ser executado, permitindo que o atacante acesse recursos ou funcionalidades restritas. A probabilidade de exploração depende se a aplicação usa o estilo de configuração descontinuado e da presença de rotas sensíveis protegidas por middleware.
Node.js applications utilizing the deprecated top-level configuration for @fastify/middie are at risk. This includes applications that have not been updated to use the routerOptions configuration style and rely on the ignoreDuplicateSlashes option for URL normalization.
• nodejs / server:
npm list @fastify/middie• nodejs / server:
npm audit @fastify/middie• nodejs / server:
Check application configuration files for ignoreDuplicateSlashes: true at the top level.
disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A solução é atualizar o @fastify/middie para a versão 9.3.2 ou superior. Esta versão corrige o problema, garantindo que o middie leia e aplique corretamente a opção ignoreDuplicateSlashes, independentemente de onde ela esteja configurada. Se você ainda estiver usando o estilo de configuração obsoleto, recomendamos fortemente migrar para a configuração padrão do roteador para evitar esta e outras vulnerabilidades potenciais. Além disso, revise seu código para identificar quaisquer dependências da opção ignoreDuplicateSlashes de nível superior e ajuste-as de acordo.
Actualice a la versión 9.3.2 de @fastify/middie para solucionar esta vulnerabilidad. La vulnerabilidad se produce debido a una lógica de coincidencia de rutas de middleware que no considera la normalización de barras duplicadas. No existen soluciones alternativas más allá de deshabilitar la opción obsoleta ignoreDuplicateSlashes.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma opção que indica se as barras duplicadas no início de uma URL devem ser normalizadas. O Fastify faz isso por padrão, mas o middie não o tratou corretamente em versões vulneráveis.
Não. Apenas afeta as aplicações que usam o estilo de configuração de nível superior descontinuado fastify({ ignoreDuplicateSlashes: true }).
Verifique a versão do @fastify/middie que você está usando e se você está configurando ignoreDuplicateSlashes no nível superior durante a inicialização do Fastify.
Como medida temporária, evite o uso de URLs com barras duplicadas no início de rotas sensíveis.
Consulte o relatório de vulnerabilidade CVE-2026-33804 e as notas de lançamento do @fastify/middie para obter mais detalhes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.