Vulnérabilité high détectée - CVE-2026-33804
@fastify/middie versions 9.3.1 and earlier are vulnerable to middleware bypass when the deprecated Fastify ignoreDuplicateSlashes option is enabled. T...
CVE concernées (1)
Systèmes affectés
- \@fastify\/middie
- openjsf
Description
@fastify/middie versions 9.3.1 and earlier are vulnerable to middleware bypass when the deprecated Fastify ignoreDuplicateSlashes option is enabled. The middleware path matching logic does not account for duplicate slash normalization performed by Fastify's router, allowing requests with duplicate slashes to bypass middleware authentication and authorization checks. This only affects applications using the deprecated ignoreDuplicateSlashes option. Upgrade to @fastify/middie 9.3.2 to fix this issue. There are no workarounds other than disabling the ignoreDuplicateSlashes option.
Type de vulnérabilité
- CWE-436
Vecteur d'attaque
Complexité : HIGH
Privilèges requis : NONE
Interaction utilisateur : NONE
Impact
- Confidentialité : HIGH
- Intégrité : HIGH
- Disponibilité : NONE
Recommandations
Appliquer les correctifs de sécurité fournis par le vendeur dès que possible.
Recommandations de sécurité
- Appliquer immédiatement les correctifs de sécurité
- Surveiller les systèmes pour détecter toute tentative d'exploitation