nvd,anchore_overrides
Fastify
Уязвимости
39
Эксплуатируемые
0
Критический
5
Высокий
21
Топ продуктов
Топ уязвимостей
CVE-2026-6270@fastify/middie версии 9.3.1 и ранее не регистрируют унаследованное промежуточную посуду непосредственно на экземплярах детских плагинов. Когда приложение Fastify регистрирует промежуточную версию аутентификации в родительском ободне, а затем регистрирует плагины для детей с помощью @fastify/middie, детская сфера не наследует промежуточную версию родителя. Это позволяет неаутентифицированным запросам достигать маршрутов, определенных в детских плагинах, в обход проверок аутентификации и авторизации. Обновление до @fastify/middie 9.3.2, чтобы исправить эту проблему. Никакого обходного пути нет.
CVE-2026-33808Impact@fastify/express v4.0.4 и ранее не может нормализовать URL-адреса, прежде чем передавать их в промежуточный программный обеспечение Express, когда включены параметры нормализации маршрутизатора Fastify. Это позволяет полностью обходить промежуточного программного обеспечения аутентификации с помощью дубликатов при включении прошивки игнорированияDuplicateSlashes или через делимитаторы точек запятой при включении использованияSemicolonDelimiter. В обоих случаях маршрутизатор Fastify нормализует URL и соответствует маршруту, но @fastify/express передает исходный ненормированный URL-адрес Express, который не соответствует и пропускается. Неаутентифицированный злоумышленник может получить доступ к защищенным маршрутам, манипулируя путем URL.
ПатчиВрен до @fastify/экспресс v4.0.5 или более поздних версий.
CVE-2026-33807@fastify/express v4.0.4 и ранее содержит ошибку обработки пути в функции onRegister, которая приводит к удвоению промежуточных путей при наследовании детскими плагинами. Когда детский плагин регистрируется с префиксом, который соответствует промежуточный путь, промежуточный путь префиксируется во второй раз, в результате чего он никогда не соответствует входящим запросам. Это приводит к полному обходу средств контроля безопасности промежуточных программ Express, включая аутентификацию, авторизацию и ограничение тарифа, для всех маршрутов, определенных в пределах затронутых плагинов для детей. Никакой специальной конфигурации или запроса не требуется.
Обновление до @fastify/express v4.0.5 или более поздних версий.
CVE-2026-33804@fastify/middie версии 9.3.1 и более ранние уязвимы для обхода промежуточного программного обеспечения, когда включена устаревшая опция Fastify игнорированиеDuplicateSlashes. Логика соответствия промежуточного программного обеспечения не учитывает дубличную нормализацию слэша, выполняемую маршрутизатором Fastify, что позволяет запросам с дублированными срезами обходить проверку аутентификации промежуточного программного обеспечения и авторизации. Это влияет только на приложения, использующие опцию deprecated игнорированиеDuplicateSlashes. Обновление до @fastify/middie 9.3.2, чтобы исправить эту проблему. Нет никаких обходных путей, кроме отключения варианта проигнорированного дублированияSlashes.
CVE-2026-33805@fastify/reply-from v12.6.1 и ранее и @fastify/http-proxy v11.4.3 и более раннее обрабатывают заголовок подключения клиента после того, как прокси добавил свои собственные заголовки через rewriteRequestHeaders. Это позволяет злоумышленникам задним числом удалять заголовки с прокси-заголовки из запросов выше по потоку, перечисляя их в значении заголовка Connection. Любой заголовок, добавленный прокси для маршрутизации, контроля доступа или целей безопасности, может быть выборочно удален клиентом. @fastify/http-proxy также затрагивается, поскольку он делегируется @fastify/reply-from.
Обновление до @fastify/reply-from v12.6.2 или @fastify/http-proxy v11.4.4 или более поздних версий.
CVE-2026-22031@fastify/middie - это плагин, который добавляет поддержку промежуточного программного обеспечения на стероидах в Fastify. Уязвимость безопасности существует в @fastify/middie до версии 9.1.0, где промежуточная программа, зарегистрированная с определенным префиксом пути, может быть обойдена с использованием символов, закодированных URL (например, `/%61dmin` вместо `/admin`). В то время как промежуточный механизм не соответствует закодированному пути и пропускает выполнение, основной маршрутизатор Fastify правильно декодирует путь и соответствует обработчику маршрута, позволяя злоумышленникам получать доступ к защищенным конечным точкам без ограничений промежуточной программы. Версия 9.1.0 устраняет проблему.
CVE-2022-41919Fastify — это веб-фреймворк с минимальными накладными расходами и архитектурой плагинов. Злоумышленник может использовать неверный `Content-Type`, чтобы обойти проверку `Pre-Flight` для `fetch`. Запросы `fetch()` с сутью Content-Type как "application/x-www-form-urlencoded", "multipart/form-data" или "text/plain" потенциально могут использоваться для вызова маршрутов, которые принимают только тип содержимого `application/json`, таким образом обходя любую защиту CORS и, следовательно, могут привести к атаке Cross-Site Request Forgery. Эта проблема была исправлена в версиях 4.10.2 и 3.29.4. В качестве обходного пути реализуйте защиту Cross-Site Request Forgery с помощью `@fastify/csrf`.
CVE-2020-28482Это затрагивает пакет fastify-csrf до версии 3.0.0. 1. Сгенерированный cookie использовал небезопасные значения по умолчанию и не имел флага httpOnly: cookieOpts: { path: '/', sameSite: true } 2. Токен CSRF был доступен в параметре запроса GET.
CVE-2026-2880Уязвимость в версиях @fastify/middie < 9.2.0 может привести к шунтировании аутентификации/авторизации при использовании промежуточной программы с проработкой пути (например, app.use('/secret', auth)).
Когда параметры нормализации маршрутизатора Fastify включены (например, игнорируютDuplicateSlashes, useSemicolonDelimiter и связанное с этим поведение привязки), созданные пути запроса могут обходить проверки промежуточного ПО, все еще направляясь на защищенные обработчики.
CVE-2023-29019@fastify/passport — это порт библиотеки аутентификации passport для экосистемы Fastify. Приложения, использующие `@fastify/passport` в затронутых версиях для аутентификации пользователей в сочетании с `@fastify/session` в качестве базового механизма управления сеансами, уязвимы для атак с фиксацией сеанса со стороны сетевых и односайтовых злоумышленников. Приложения fastify используют библиотеку `@fastify/passport` для аутентификации пользователей. Вход в систему и проверка пользователя выполняются функцией `authenticate`. При выполнении этой функции `sessionId` сохраняется между предварительным входом в систему и аутентифицированным сеансом. Сетевые и односайтовые злоумышленники могут перехватить сеанс жертвы, подбросив действительный файл cookie `sessionId` в браузер жертвы и дождавшись, пока жертва войдет на веб-сайт. В качестве решения в новых версиях `@fastify/passport` `sessionId` регенерируется при входе в систему, что предотвращает обновление управляемого злоумышленником файла cookie предварительного сеанса до аутентифицированного сеанса. Пользователям рекомендуется выполнить обновление. Известных обходных путей для этой уязвимости нет.
CVE-2026-42349Clerk JavaScript - это официальный хранилище JavaScript для аутентификации Clerk. has(), auth.protect() и связанные с ними авторские предикаты в @clerk/shared, @clerk/nextjs, @clerk/backend и других фреймворков SDK могут возвращать истинные для определенных комбинированных проверок авторизации, когда результат должен быть ложным, позволяя предпринять закрытое действие для пользователя, который не удовлетворяет Эта форма вызова может быть обойдена, если соблюдены определенные условия: вызов have() или auth.protect(), который сочетает проверку повторного подтверждения с любой ролью, разрешением, функцией или планом, или который сочетает в себе проверку выставления счетов (функцию или план) с проверкой роли или разрешения. Эта уязвимость зафиксирована в @clerk/clerk-js 5.125.10 и 6.7.5.
CVE-2026-7768@fastify/accepts-serializer кэшированных результатов отбора серийизатора, ключевых от заголовка запроса Accept без ограничения размера или политики выселения. Дистанционный неаутентированный клиент может отправить много различных, но соответствующих вариантов заголовка Accept, чтобы заставить кэш расти безграничным, в конечном итоге исчерпав кучку Node.js и сломав процесс. Поражаются версии <= 6.0.3. Обновление до 6.0.4 или более поздних версий, которое ограничивает кэш через LRU с размером по умолчанию 100 записей, настраиваемых через новую опцию плагина cacheSize.
CVE-2026-33806Влияние:
Приложения Fastify с использованием schema.body.content для проверки тела per-content могут полностью обойти валидацию, предотвечивая пространство к заголовку Content-Type. Тело по-прежнему правильно разобрано, но проверка схемы пропускается.
Это регресс, введенный в факсифике >= 5.3.2 фиксацией для CVE-2025-32442
Патчи:
Обновление до f5.8.5 или более поздней версии.
Обходные пути:
Никаких. Обновиться до исправленной версии.
CVE-2026-25223Fastify - это быстрая и низкая накладная веб-фреймворка для Node.js. До версии 5.7.2 в Fastify существует уязвимость шунтирования, в которой схемы проверки тела запроса, указанные в Content-Type, могут быть полностью обойдены. Прибавляя символ вкладки (\t), за которым следует произвольный контент, в заголовок Content-Type злоумышленники могут обойти проверку тела, в то время как сервер все еще обрабатывает тело как оригинальный тип контента. Эта проблема была исправлена в версии 5.7.2.
CVE-2025-32442Fastify - это быстрый и низконадоедающий веб-фреймворк для Node.js. В версиях от 5.0.0 до 5.3.0, а также в версии 4.9.0, приложения, указывающие разные стратегии проверки для разных типов контента, имеют возможность обойти проверку, предоставив слегка измененный тип контента, например с разным регистром или измененным пробелом перед `;` [1]. Эта проблема была исправлена в версиях 5.3.2 и 4.9.1. Рекомендуется обновиться до исправленной версии.
Источники:
- [1] https://github.com/fastify/fastify/security/advisories/GHSA-mg2h-6x62-wpwc
CVE-2025-24033@fastify/multipart - это плагин Fastify для разбора содержимого типа multipart. До версий 8.3.1 и 9.0.3 функция `saveRequestFiles` не удаляет загруженные временные файлы, когда пользователь отменяет запрос. Проблема исправлена в версиях 8.3.1 и 9.0.3. В качестве обходного пути не используйте `saveRequestFiles`.
CVE-2023-51701fastify-reply-from - это плагин Fastify для перенаправления текущего HTTP-запроса на другой сервер. Обратный прокси-сервер, построенный с помощью `@fastify/reply-from`, может неправильно интерпретировать входящий текст, передавая заголовок `ContentType: application/json ; charset=utf-8`. Это может привести к обходу проверок безопасности. Эта уязвимость была исправлена в '@fastify/reply-from` версии 9.6.0.
CVE-2023-25576@fastify/multipart - это плагин Fastify для разбора content-type multipart. До версий 7.4.1 и 6.0.1 @fastify/multipart может столкнуться с отказом в обслуживании из-за ряда ситуаций, в которых принимается неограниченное количество частей. Это включает в себя синтаксический анализатор multipart body, принимающий неограниченное количество файловых частей, синтаксический анализатор multipart body, принимающий неограниченное количество частей полей, и синтаксический анализатор multipart body, принимающий неограниченное количество пустых частей в качестве частей полей. Это исправлено в v7.4.1 (для Fastify v4.x) и v6.0.1 (для Fastify v3.x). Известных обходных путей нет.
CVE-2022-39386@fastify/websocket обеспечивает поддержку WebSocket для Fastify. Любое приложение, использующее @fastify/websocket, может аварийно завершить работу, если отправлен определенный, неправильно сформированный пакет. Все версии fastify-websocket также подвержены этой проблеме. Этот модуль устарел, поэтому он не будет исправлен. Это было исправлено в версии 7.1.1 (fastify v4) и версии 5.0.1 (fastify v3). В настоящее время нет известных обходных путей. Однако можно подключить обработчик ошибок вручную. Рекомендуется перейти на исправленные версии.
CVE-2022-39288fastify — это быстрая и легкая веб-платформа для Node.js. Затронутые версии fastify подвержены отказу в обслуживании из-за вредоносного использования заголовка Content-Type. Злоумышленник может отправить недопустимый заголовок Content-Type, который может привести к сбою приложения. Эта проблема была решена в коммите `fbb07e8d` и будет включена в версию 4.8.1. Пользователям рекомендуется обновиться. Пользователи, которые не могут обновиться, могут вручную отфильтровывать http-контент с вредоносными заголовками Content-Type.
CVE-2022-31142@fastify/bearer-auth — это плагин Fastify, требующий заголовки авторизации Bearer. @fastify/bearer-auth до версий 7.0.2 и 8.0.1 небезопасно использует crypto.timingSafeEqual. Злоумышленник может оценить длину одного действительного токена Bearer. Согласно соответствующему RFC 6750, токен Bearer имеет только допустимые символы base64, что уменьшает диапазон символов для атаки методом грубой силы. Версии 7.0.2 и 8.0.1 @fastify/bearer-auth содержат исправление. В настоящее время нет известных обходных путей. Пакет fastify-bearer-auth, который охватывает версии 6.0.3 и более ранние, также уязвим, начиная с версии 5.0.1. Пользователям fastify-bearer-auth следует обновиться до исправленной версии @fastify/bearer-auth.
CVE-2021-23597Это влияет на пакет fastify-multipart версий до 5.3.1. Предоставляя свойство name=constructor, все еще можно вызвать сбой приложения. **Примечание:** Это обход CVE-2020-8136 (https://security.snyk.io/vuln/SNYK-JS-FASTIFYMULTIPART-1290382).
CVE-2020-8136Уязвимость загрязнения прототипа в fastify-multipart < 1.0.5 позволяет злоумышленнику аварийно завершать работу приложений fastify, анализирующих многокомпонентные запросы, путем отправки специально созданного запроса.
CVE-2018-3711Node-модуль Fastify версий до 0.38.0 уязвим для атак типа «отказ в обслуживании» путем отправки запроса с "Content-Type: application/json" и очень большой полезной нагрузкой.
CVE-2024-35220@fastify/session — это плагин сеанса для fastify. Требуется плагин @fastify/cookie. При восстановлении cookie из хранилища сеансов поле `expires` переопределяется, если было установлено поле `maxAge`. Это означает, что cookie никогда не определяется правильно как истекший, и, следовательно, истекшие сеансы не уничтожаются. Эта уязвимость была исправлена в версии 10.8.0.