Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Fastify›Приложениеnvd

Fastify-static

Уязвимости

4

Эксплуатируемые

0

Макс. CVSS

5.9

Макс. EPSS

0.01132

Распределение по критичности

Критический

0

Высокий

0

Средний

4

Низкий

0

Затронутые диапазоны версий

4.2.4–4.4.18.0.0–9.1.1< 4.2.4

Также сопоставлено как (исходные строки): fastify-static

Топ уязвимостей

CVE-2026-6414@fastify/статические версии 8.0.0 до 9.1.0 декодировать пройденные сепараторы пути (% 2F) до разрешения файла, в то время как маршрутизатор Fastify рассматривает их как буквальные символы. Это несоответствие позволяет злоумышленникам обходить промежуточное программирование на основе маршрута или охранников, которые защищают файлы, обслуживаемые @fastify/static. Например, охранник маршрута на защищенном пути может быть обойден путем кодирования сепаратора пути в URL. Обновление до @fastify/static 9.1.1, чтобы исправить эту проблему. Никаких обходных путей нет.

CVE-2021-22964Уязвимость перенаправления в модуле `fastify-static` версии >= 4.2.4 и < 4.4.1 позволяет удаленным злоумышленникам перенаправлять пользователей Mozilla Firefox на произвольные веб-сайты через двойную косую черту `//` с последующим доменом: `http://localhost:3000//a//youtube.com/%2e%2e%2f%2e%2e`. Возможна уязвимость DOS, если URL-адрес содержит недопустимые символы `curl --path-as-is "http://localhost:3000//^/.."`. Проблема проявляется во всех приложениях `fastify-static`, которые устанавливают параметр `redirect: true`. По умолчанию он имеет значение `false`.

CVE-2026-6410@fastify/статические версии 8.0.0 до 9.1.0 позволяют осуществлять обход пути, когда список каталогов включен через опцию списка. Функция drList.path() разрешает каталоги за пределами настроенного статического корня, используя path.join() без проверки сдерживания. Удаленный незавершенный злоумышленник может получить списки каталогов для произвольных каталогов, доступных для процесса Node.js, раскрывая каталог и имена файлов. Содержимое файлов не разглашается. Обновление до @fastify/static 9.1.1, чтобы исправить эту проблему. В качестве обходного пути отключите список каталогов, удалив опцию списка из конфигурации плагина.

CVE-2021-22963Уязвимость перенаправления в модуле fastify-static версии < 4.2.4 позволяет удаленным злоумышленникам перенаправлять пользователей на произвольные веб-сайты через двойную косую черту // с последующим доменом: http://localhost:3000//google.com/%2e%2e. Проблема проявляется во всех приложениях fastify-static, которые устанавливают параметр redirect: true. По умолчанию он имеет значение false.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →