Plataforma
nodejs
Componente
@fastify/static
Corrigido em
9.1.1
9.1.1
A vulnerabilidade CVE-2026-6414 afeta a biblioteca @fastify/static nas versões entre 8.0.0 e 9.1.1. Devido a uma incompatibilidade na decodificação de separadores de caminho, é possível contornar proteções baseadas em rotas. Isso permite que atacantes acessem arquivos protegidos. Atualize para a versão 9.1.1 para corrigir esta vulnerabilidade.
A vulnerabilidade CVE-2026-6414 em @fastify/static (versões 9.1.0 e anteriores) permite a contorna de controles de acesso baseados em rotas. O problema reside no fato de que @fastify/static decodifica separadores de caminho codificados por porcentagem (%2F) antes da resolução no sistema de arquivos, enquanto o roteador do Fastify os trata como caracteres literais. Isso cria uma incompatibilidade: proteções de rota como /admin/* não correspondem a /admin%2Fsecret.html, mas @fastify/static o decodifica para /admin/secret.html e serve o arquivo. Aplicações que dependem de middleware ou proteções baseadas em rotas para proteger arquivos servidos por @fastify/static podem ser vulneráveis a essa contorna.
Um atacante pode explorar esta vulnerabilidade criando URLs com separadores de caminho codificados por porcentagem. Por exemplo, se uma aplicação tiver uma rota protegida /admin/, um atacante pode tentar acessar /admin%2Fsecret.html. Devido à decodificação prematura de @fastify/static, o arquivo secret.html dentro do diretório admin seria servido, mesmo que a rota /admin/ esteja protegida por middleware ou guardas. Esta técnica permite contornar as proteções baseadas em rota, expondo potencialmente informações sensíveis ou permitindo o acesso não autorizado a recursos protegidos.
Applications built with Node.js that utilize @fastify/static for serving static files and rely on route-based middleware or guards to protect those files are at risk. This includes applications with custom route guards or those leveraging Fastify's built-in middleware for access control. Shared hosting environments where multiple applications share the same server and file system are particularly vulnerable.
• nodejs / server:
npm list @fastify/static• nodejs / server:
npm audit @fastify/static• nodejs / server: Check application logs for requests containing percent-encoded path separators (e.g., %2F) accessing files within protected directories.
disclosure
Status do Exploit
EPSS
0.01% (percentil 3%)
CISA SSVC
Vetor CVSS
A solução é atualizar para a versão 9.1.1 ou superior de @fastify/static. Esta versão corrige a vulnerabilidade ao lidar corretamente com separadores de caminho codificados por porcentagem de forma consistente com o roteador do Fastify. Enquanto isso, como medida temporária, implemente controles de acesso adicionais no nível da aplicação para validar e restringir o acesso a arquivos sensíveis, mesmo que a rota pareça protegida pelo roteador. É crucial revisar a configuração de rotas e proteções para garantir que sejam robustas e não dependam unicamente do comportamento padrão de @fastify/static.
Actualice a la versión 9.1.1 de @fastify/static para solucionar la vulnerabilidad. Esta versión corrige el problema al manejar correctamente los separadores de ruta codificados, evitando el bypass de las protecciones de ruta. No existen soluciones alternativas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-6414 is a vulnerability in @fastify/static where percent-encoded path separators bypass route guards, allowing unauthorized file access.
You are affected if you are using @fastify/static versions 8.0.0 through 9.1.1 and rely on route-based middleware for file access control.
Upgrade to @fastify/static version 9.1.1 or later. There are no workarounds available.
As of the publication date, there is no confirmed active exploitation, but the vulnerability is potentially exploitable.
Refer to the official @fastify/static documentation and security advisories for the most up-to-date information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.