CVE-2026-33808 in expressinfo

Zusammenfassung

von VulDB • 29.05.2026

Auswirkung@fastify/express v4.0.4 und frühere Versionen normalisieren URLs nicht, bevor sie an die Express-Middleware übergeben werden, wenn die Fastify-Router-Normalisierungsoptionen aktiviert sind. Dies ermöglicht eine vollständige Umgehung der pfadbezogenen Authentifizierungs-Middleware durch doppelte Schrägstriche, wenn ignoreDuplicateSlashes aktiviert ist, oder durch Semikolon-Trennzeichen, wenn useSemicolonDelimiter aktiviert ist. In beiden Fällen normalisiert der Fastify-Router die URL und stimmt mit der Route überein, aber @fastify/express übergibt die ursprüngliche, nicht normalisierte URL an die Express-Middleware, die nicht übereinstimmt und daher übersprungen wird. Ein nicht authentifizierter Angreifer kann geschützte Routen durch Manipulation des URL-Pfads erreichen.

PatchesAktualisieren Sie auf @fastify/express v4.0.5 oder höher.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

Openjs

Reservieren

23.03.2026

Veröffentlichung

15.04.2026

Moderieren

akzeptiert

Eintrag

VDB-357695

CPE

bereit

EPSS

0.00483

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!