Plataforma
nodejs
Componente
@fastify/middie
Corrigido em
9.3.2
9.3.2
A vulnerabilidade CVE-2026-6270 afeta a biblioteca @fastify/middie versões até 9.3.2, permitindo um bypass de autenticação. Devido a um erro no re-prefixo de caminhos de middleware, plugins filhos podem ter seus controles de segurança ignorados, incluindo mecanismos de autenticação, autorização e limitação de taxa. A versão 9.3.2 corrige essa falha.
CVE-2026-6270 afeta as versões 9.3.1 e anteriores de @fastify/middie. A vulnerabilidade reside na manipulação incorreta dos caminhos dos middlewares ao propagá-los para os escopos de plugins filhos. Quando um plugin filho é registrado com um prefixo que se sobrepõe a um caminho de middleware com escopo pai, o caminho do middleware é modificado silenciosamente, impedindo que corresponda às solicitações recebidas. Isso resulta em uma contorna completa dos controles de segurança do middleware para todas as rotas definidas dentro dos escopos de plugin filho afetados, incluindo escopos aninhados (netos). A falta de correspondência dos caminhos de middleware pode levar à exposição de dados confidenciais ou à execução de código não autorizado.
Um atacante pode explorar esta vulnerabilidade registrando um plugin filho com um prefixo que se sobrepõe a um caminho de middleware existente no escopo pai. Ao fazer isso, o atacante pode contornar os controles de segurança do middleware para as rotas definidas dentro do plugin filho, permitindo que ele acesse recursos protegidos ou execute código malicioso. A exploração é mais provável em aplicativos que usam uma arquitetura de plugin complexa com vários plugins filhos e caminhos de middleware sobrepostos.
Applications built with Node.js and utilizing @fastify/middie for middleware management are at risk. This includes applications with complex plugin architectures and those relying heavily on middleware for security enforcement. Shared hosting environments where multiple applications share the same Node.js instance are particularly vulnerable, as a compromise in one application could potentially affect others.
• nodejs / server:
npm list @fastify/middieCheck for versions prior to 9.3.2. • nodejs / server:
npm audit @fastify/middieRun an npm audit to identify the vulnerability. • generic web: Review application logs for unusual request patterns or errors related to middleware execution, particularly within child plugin scopes.
disclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação principal é atualizar para a versão 9.3.2 ou superior de @fastify/middie. Esta versão corrige o problema, tratando corretamente os caminhos de middleware ao propagá-los para os escopos de plugin filho. Se a atualização imediata não for possível, revise cuidadosamente a configuração dos plugins filhos para garantir que não haja sobreposições de prefixos de caminhos de middleware. Recomenda-se também realizar testes de segurança abrangentes após qualquer alteração na configuração dos plugins.
Actualice a la versión 9.3.2 o superior de @fastify/middie para solucionar la vulnerabilidad. Esta actualización corrige el problema de herencia de middleware, asegurando que la autenticación se aplique correctamente a todas las rutas, incluso en plugins secundarios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
@fastify/middie é um plugin para Fastify que simplifica a integração de middlewares.
Verifique a versão de @fastify/middie instalada em seu projeto. Se for inferior a 9.3.2, você está potencialmente afetado.
Revise a configuração de seus plugins filhos para evitar sobreposições de prefixos de caminhos de middleware e realize testes de segurança abrangentes.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade, mas recomenda-se uma revisão manual da configuração dos plugins.
A não correção desta vulnerabilidade pode levar à contorna de controles de segurança, à exposição de dados confidenciais e à execução de código não autorizado.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.