CVE-2026-33808 in express
الملخص
بحسب VulDB • 23/06/2026
التأثير: في الإصدارات من @fastify/express حتى 4.0.4 والإصدارات الأقدم، لا يتم تطبيع عناوين URLs قبل تمريرها إلى وسيط Express (Express middleware) عندما تكون خيارات تطبيع المسار (router normalization options) مفعّلة في Fastify router. وهذا يتيح تجاوزًا كاملاً لوسيط المصادقة المحدد على نطاق المسار (path-scoped authentication middleware)، وذلك إما من خلال استخدام شرطات مائلة مزدوجة (/) عند تفعيل خيار ignoreDuplicateSlashes، أو باستخدام الفواصل المنقوطة (;) كفاصل عند تفعيل خيار useSemicolonDelimiter. في كلتا الحالتين، يقوم Fastify router بتطبيع عنوان URL ومطابقة المسار (route)، لكن @fastify/express يمرر عنوان URL الأصلي غير المطبّع إلى وسيط Express، الذي يفشل في مطابقته ويتم تخطيه. يمكن لمهاجم دون مصادقة الوصول إلى الطرق المحمية من خلال التلاعب بمسار عنوان URL.
التصحيحات: قم بالترقية إلى @fastify/express الإصدار 4.0.5 أو أحدث.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.