Plataforma
nodejs
Componente
@fastify/express
Corrigido em
4.0.5
4.0.5
O CVE-2026-33807 é uma vulnerabilidade de bypass de autenticação encontrada na biblioteca @fastify/express até a versão 4.0.4. Este bug, presente na função onRegister, duplica caminhos de middleware, permitindo a contornação de controles de segurança do Express para rotas definidas em plugins filhos que compartilham um prefixo com o middleware do plugin pai. A vulnerabilidade afeta a configuração padrão do Fastify e não requer configuração especial para ser explorada. Uma correção foi lançada na versão 4.0.5.
A vulnerabilidade CVE-2026-33807 em @fastify/express v4.0.4 reside em um erro no tratamento de caminhos dentro da função onRegister. Esta função, responsável pelo registro de plugins, duplica incorretamente os caminhos dos middlewares quando estes são herdados por plugins filhos. Isso resulta no completo bypass dos controles de segurança do Express para todas as rotas definidas dentro do escopo de plugins filhos que compartilham um prefixo com os middlewares do plugin pai. Nenhuma configuração especial é necessária – isso afeta a configuração padrão do Fastify. O CVSS foi classificado com uma pontuação de 9.1, indicando uma severidade crítica. Essa duplicação de caminhos permite a contorna de restrições de segurança, abrindo caminho para possíveis ataques.
Um atacante poderia explorar esta vulnerabilidade criando um plugin filho com rotas que compartilhem um prefixo com o middleware registrado no plugin pai. Devido à duplicação de caminhos, as proteções de segurança aplicadas ao middleware do plugin pai não serão aplicadas às rotas do plugin filho, permitindo que o atacante ignore essas proteções e acesse potencialmente recursos ou funcionalidades não autorizadas. A facilidade de exploração e o impacto potencial justificam a alta classificação de severidade do CVSS.
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar para a versão 4.0.5 ou superior de @fastify/express. Esta versão corrige o erro no tratamento de caminhos dentro da função onRegister, evitando a duplicação de caminhos de middleware e restaurando a aplicação correta dos controles de segurança do Express. A aplicação imediata desta atualização é fortemente recomendada para mitigar o risco de exploração. Além disso, revise a configuração dos plugins filhos para garantir que nenhuma rota vulnerável esteja em uso, embora a atualização para a versão corrigida permaneça a principal medida de correção.
Actualice a la versión 4.0.5 o superior de @fastify/express para corregir la vulnerabilidad. Esta actualización soluciona un error en el manejo de rutas que permitía eludir los controles de seguridad de Express, como la autenticación y la autorización, en plugins secundarios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Significa que o mesmo caminho de middleware é registrado duas vezes, fazendo com que as proteções de segurança aplicadas à primeira instância não se apliquem à segunda.
Verifique a versão de @fastify/express que você está usando. Se for v4.0.4 ou anterior, sua aplicação é vulnerável.
Embora não seja recomendado, revise cuidadosamente a configuração de seus plugins filhos para identificar rotas potencialmente vulneráveis e aplicar medidas de segurança adicionais.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade, mas são recomendadas auditorias de segurança e testes de penetração.
CVSS (Common Vulnerability Scoring System) é um padrão para avaliar a severidade das vulnerabilidades. Uma pontuação de 9.1 indica uma vulnerabilidade crítica que requer atenção imediata.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.