MEDIUMCVE-2026-6414CVSS 5.9

@fastify/static 易受编码路径分隔符绕过路由保护的影响

Q: @fastify/static 中的 CVE-2026-6414 是否会影响我？

使用 `npm list @fastify/static` 或 `yarn list @fastify/static` 命令检查已安装的版本。

Q: 在哪里可以找到 @fastify/static 关于 CVE-2026-6414 的官方安全通告？

仅影响依赖于路由保护来保护 `@fastify/static` 提供文件的应用程序。

平台

nodejs

组件

@fastify/static

修复版本

9.1.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-6414 是 @fastify/static 版本 8.0.0 到 9.1.1 之间的一个安全漏洞。由于路径分隔符的处理不一致，攻击者可以绕过基于路由的中间件或保护机制。建议立即升级到 @fastify/static 9.1.1 以解决此问题。

影响与攻击场景

CVE-2026-6414 在 @fastify/static (9.1.0 及更早版本) 中允许绕过基于路由的访问控制。问题在于 @fastify/static 在文件系统解析之前解码百分号编码的路径分隔符 (%2F)，而 Fastify 的路由器将它们视为字面字符。这导致路由不匹配：例如，/admin/* 这样的路由守卫不会匹配 /admin%2Fsecret.html，但 @fastify/static 会将其解码为 /admin/secret.html 并提供该文件。依赖于基于路由的中间件或守卫来保护 @fastify/static 提供的文件，可以使用编码的路径绕过此限制。

利用背景

攻击者可以通过创建包含百分号编码的路径分隔符的 URL 来利用此漏洞。例如，如果应用程序具有受保护的路由 /admin/，则攻击者可能会尝试访问 /admin%2Fsecret.html。由于 @fastify/static 的过早解码，admin 目录中的 secret.html 文件将被提供，即使 /admin/ 路由受到中间件或守卫的保护。此技术允许绕过基于路由的保护，从而可能泄露敏感信息或允许对受保护资源的未经授权的访问。

哪些人处于风险中翻译中…

Applications built with Node.js that utilize @fastify/static for serving static files and rely on route-based middleware or guards to protect those files are at risk. This includes applications with custom route guards or those leveraging Fastify's built-in middleware for access control. Shared hosting environments where multiple applications share the same server and file system are particularly vulnerable.

检测步骤翻译中…

• nodejs / server:

  npm list @fastify/static

• nodejs / server:

  npm audit @fastify/static

• nodejs / server: Check application logs for requests containing percent-encoded path separators (e.g., %2F) accessing files within protected directories.

攻击时间线

2026-04-16Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告3 份威胁报告

EPSS

0.01% (3% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件@fastify/static

供应商@fastify/static

影响范围修复版本

8.0.0 – 9.1.19.1.1

8.0.09.1.1

弱点分类 (CWE)

CWE-177

时间线

已保留2026-04-15
发布日期2026-04-16
EPSS 更新日期2026-04-24

缓解措施和替代方案

解决方案是将 @fastify/static 升级到 9.1.1 或更高版本。此版本通过以与 Fastify 路由器一致的方式处理百分号编码的路径分隔符来修复此漏洞。在此期间，作为临时措施，请在应用程序级别实施额外的访问控制，以验证和限制对敏感文件的访问，即使该路由似乎受到路由器保护。仔细审查路由配置和保护，以确保其稳健且不完全依赖 @fastify/static 的默认行为。

修复方法翻译中…

Actualice a la versión 9.1.1 de @fastify/static para solucionar la vulnerabilidad. Esta versión corrige el problema al manejar correctamente los separadores de ruta codificados, evitando el bypass de las protecciones de ruta. No existen soluciones alternativas.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-6414 是什么 — @fastify/static 中的漏洞？

9.1.1 之前的版本都存在 CVE-2026-6414 漏洞。

@fastify/static 中的 CVE-2026-6414 是否会影响我？

使用 npm list @fastify/static 或 yarn list @fastify/static 命令检查已安装的版本。

如何修复 @fastify/static 中的 CVE-2026-6414？

在应用程序级别实施额外的访问控制，以验证和限制对敏感文件的访问。

CVE-2026-6414 是否正在被积极利用？

位于受路由保护的目录中，并且可能包含敏感信息或允许未经授权的操作的文件。

在哪里可以找到 @fastify/static 关于 CVE-2026-6414 的官方安全通告？

仅影响依赖于路由保护来保护 @fastify/static 提供文件的应用程序。