Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Fastify›Приложениеnvd

Fastify\/middie

Уязвимости

4

Эксплуатируемые

0

Макс. CVSS

9.1

Макс. EPSS

0.00498

Распределение по критичности

Критический

2

Высокий

2

Средний

0

Низкий

0

Затронутые диапазоны версий

< 9.1.0< 9.2.0< 9.3.2

Также сопоставлено как (исходные строки): fastify/middie

Топ уязвимостей

CVE-2026-6270@fastify/middie версии 9.3.1 и ранее не регистрируют унаследованное промежуточную посуду непосредственно на экземплярах детских плагинов. Когда приложение Fastify регистрирует промежуточную версию аутентификации в родительском ободне, а затем регистрирует плагины для детей с помощью @fastify/middie, детская сфера не наследует промежуточную версию родителя. Это позволяет неаутентифицированным запросам достигать маршрутов, определенных в детских плагинах, в обход проверок аутентификации и авторизации. Обновление до @fastify/middie 9.3.2, чтобы исправить эту проблему. Никакого обходного пути нет.

CVE-2026-33804@fastify/middie версии 9.3.1 и более ранние уязвимы для обхода промежуточного программного обеспечения, когда включена устаревшая опция Fastify игнорированиеDuplicateSlashes. Логика соответствия промежуточного программного обеспечения не учитывает дубличную нормализацию слэша, выполняемую маршрутизатором Fastify, что позволяет запросам с дублированными срезами обходить проверку аутентификации промежуточного программного обеспечения и авторизации. Это влияет только на приложения, использующие опцию deprecated игнорированиеDuplicateSlashes. Обновление до @fastify/middie 9.3.2, чтобы исправить эту проблему. Нет никаких обходных путей, кроме отключения варианта проигнорированного дублированияSlashes.

CVE-2026-22031@fastify/middie - это плагин, который добавляет поддержку промежуточного программного обеспечения на стероидах в Fastify. Уязвимость безопасности существует в @fastify/middie до версии 9.1.0, где промежуточная программа, зарегистрированная с определенным префиксом пути, может быть обойдена с использованием символов, закодированных URL (например, `/%61dmin` вместо `/admin`). В то время как промежуточный механизм не соответствует закодированному пути и пропускает выполнение, основной маршрутизатор Fastify правильно декодирует путь и соответствует обработчику маршрута, позволяя злоумышленникам получать доступ к защищенным конечным точкам без ограничений промежуточной программы. Версия 9.1.0 устраняет проблему.

CVE-2026-2880Уязвимость в версиях @fastify/middie < 9.2.0 может привести к шунтировании аутентификации/авторизации при использовании промежуточной программы с проработкой пути (например, app.use('/secret', auth)). Когда параметры нормализации маршрутизатора Fastify включены (например, игнорируютDuplicateSlashes, useSemicolonDelimiter и связанное с этим поведение привязки), созданные пути запроса могут обходить проверки промежуточного ПО, все еще направляясь на защищенные обработчики.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →