HIGHCVE-2026-33804CVSS 7.4

CVE-2026-33804：@fastify/middie 绕过漏洞 (7.4 高危)

Q: CVE-2026-33804 是什么 — @fastify/middie 中的漏洞？

这是一个指示 URL 开头是否应规范化重复斜杠的选项。Fastify 默认会执行此操作，但在易受攻击的版本中，`middie` 没有正确处理它。

Q: @fastify/middie 中的 CVE-2026-33804 是否会影响我？

不。它仅影响使用已弃用的顶级配置样式 `fastify({ ignoreDuplicateSlashes: true })` 的应用程序。

Q: 如何修复 @fastify/middie 中的 CVE-2026-33804？

检查您使用的 `@fastify/middie` 版本，以及您是否在 Fastify 初始化时在顶级配置 `ignoreDuplicateSlashes`。

Q: 在哪里可以找到 @fastify/middie 关于 CVE-2026-33804 的官方安全通告？

请参阅 CVE-2026-33804 报告和 `@fastify/middie` 发布说明以获取更多详细信息。

平台

nodejs

组件

@fastify/middie

修复版本

9.3.2

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-33804 是一个存在于 @fastify/middie 库中的绕过漏洞。该漏洞源于 middie 未读取顶层 ignoreDuplicateSlashes 选项，导致攻击者可以通过构造包含重复前导斜杠的 URL (例如 //admin/secret) 绕过中间件。此问题仅影响使用顶层配置样式的应用程序 (fastify({ ignoreDuplicateSlashes: true }))，而使用 routerOptions 配置的应用不受影响。9.3.2 版本已修复此漏洞。

影响与攻击场景

CVE-2026-33804 在 @fastify/middie (v9.3.1 及更早版本) 中，源于 ignoreDuplicateSlashes 选项处理方式上的不一致。虽然 Fastify 的路由器会规范化重复斜杠，但 middie 在通过顶级配置样式 (fastify({ ignoreDuplicateSlashes: true })) 配置时不会这样做。这会产生一个规范化差距，允许攻击者通过使用带有重复前导斜杠的 URL（例如 //admin/secret）来绕过中间件。此漏洞仅影响使用此已弃用的顶级配置样式的应用程序。

利用背景

攻击者可以通过创建包含在由中间件保护的路由开头带有重复斜杠的 URL 来利用此漏洞。由于 middie 不会规范化这些斜杠，因此中间件可能不会执行，从而允许攻击者访问受限的资源或功能。利用的可能性取决于应用程序是否使用已弃用的配置样式以及是否存在由中间件保护的敏感路由。

哪些人处于风险中翻译中…

Node.js applications utilizing the deprecated top-level configuration for @fastify/middie are at risk. This includes applications that have not been updated to use the routerOptions configuration style and rely on the ignoreDuplicateSlashes option for URL normalization.

检测步骤翻译中…

• nodejs / server:

  npm list @fastify/middie

• nodejs / server:

  npm audit @fastify/middie

• nodejs / server: Check application configuration files for ignoreDuplicateSlashes: true at the top level.

攻击时间线

2026-04-16Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.05% (15% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件@fastify/middie

供应商@fastify/middie

影响范围修复版本

0.0.0 – 9.3.19.3.2

—9.3.2

弱点分类 (CWE)

CWE-436

时间线

已保留2026-03-23
发布日期2026-04-16
EPSS 更新日期2026-04-24

缓解措施和替代方案

解决方案是将 @fastify/middie 更新到 9.3.2 或更高版本。此版本通过确保 middie 正确读取并应用 ignoreDuplicateSlashes 选项，无论其配置位置如何，来修复此问题。如果您仍然使用弃用的顶级配置样式，我们强烈建议迁移到标准的路由器配置，以避免此和其他潜在的漏洞。此外，请检查您的代码，以识别对顶级 ignoreDuplicateSlashes 选项的任何依赖关系，并相应地进行调整。

修复方法翻译中…

Actualice a la versión 9.3.2 de @fastify/middie para solucionar esta vulnerabilidad.  La vulnerabilidad se produce debido a una lógica de coincidencia de rutas de middleware que no considera la normalización de barras duplicadas.  No existen soluciones alternativas más allá de deshabilitar la opción obsoleta ignoreDuplicateSlashes.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-33804 是什么 — @fastify/middie 中的漏洞？

这是一个指示 URL 开头是否应规范化重复斜杠的选项。Fastify 默认会执行此操作，但在易受攻击的版本中，middie 没有正确处理它。

@fastify/middie 中的 CVE-2026-33804 是否会影响我？

不。它仅影响使用已弃用的顶级配置样式 fastify({ ignoreDuplicateSlashes: true }) 的应用程序。

如何修复 @fastify/middie 中的 CVE-2026-33804？

检查您使用的 @fastify/middie 版本，以及您是否在 Fastify 初始化时在顶级配置 ignoreDuplicateSlashes。

CVE-2026-33804 是否正在被积极利用？

作为临时措施，请避免使用带有重复斜杠的 URL 作为敏感路由的开头。

在哪里可以找到 @fastify/middie 关于 CVE-2026-33804 的官方安全通告？

请参阅 CVE-2026-33804 报告和 @fastify/middie 发布说明以获取更多详细信息。