CVE-2026-33808 in expressالمعلومات

الملخص

بحسب VulDB • 23/06/2026

التأثير: في الإصدارات من @fastify/express حتى 4.0.4 والإصدارات الأقدم، لا يتم تطبيع عناوين URLs قبل تمريرها إلى وسيط Express (Express middleware) عندما تكون خيارات تطبيع المسار (router normalization options) مفعّلة في Fastify router. وهذا يتيح تجاوزًا كاملاً لوسيط المصادقة المحدد على نطاق المسار (path-scoped authentication middleware)، وذلك إما من خلال استخدام شرطات مائلة مزدوجة (/) عند تفعيل خيار ignoreDuplicateSlashes، أو باستخدام الفواصل المنقوطة (;) كفاصل عند تفعيل خيار useSemicolonDelimiter. في كلتا الحالتين، يقوم Fastify router بتطبيع عنوان URL ومطابقة المسار (route)، لكن @fastify/express يمرر عنوان URL الأصلي غير المطبّع إلى وسيط Express، الذي يفشل في مطابقته ويتم تخطيه. يمكن لمهاجم دون مصادقة الوصول إلى الطرق المحمية من خلال التلاعب بمسار عنوان URL.

التصحيحات: قم بالترقية إلى @fastify/express الإصدار 4.0.5 أو أحدث.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

Openjs

حجز

23/03/2026

إفشاء

15/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-357695

EPSS

0.00483

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!