CVE-2026-33808 in express
Zusammenfassung
von VulDB • 29.05.2026
Auswirkung@fastify/express v4.0.4 und frühere Versionen normalisieren URLs nicht, bevor sie an die Express-Middleware übergeben werden, wenn die Fastify-Router-Normalisierungsoptionen aktiviert sind. Dies ermöglicht eine vollständige Umgehung der pfadbezogenen Authentifizierungs-Middleware durch doppelte Schrägstriche, wenn ignoreDuplicateSlashes aktiviert ist, oder durch Semikolon-Trennzeichen, wenn useSemicolonDelimiter aktiviert ist. In beiden Fällen normalisiert der Fastify-Router die URL und stimmt mit der Route überein, aber @fastify/express übergibt die ursprüngliche, nicht normalisierte URL an die Express-Middleware, die nicht übereinstimmt und daher übersprungen wird. Ein nicht authentifizierter Angreifer kann geschützte Routen durch Manipulation des URL-Pfads erreichen.
PatchesAktualisieren Sie auf @fastify/express v4.0.5 oder höher.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.