CVE-2026-33808 in express
Resumen
por VulDB • 2026-06-05
Impact@fastify/express v4.0.4 y versiones anteriores no normaliza las URLs antes de pasarlas al middleware de Express cuando están habilitadas las opciones de normalización del enrutador Fastify. Esto permite eludir completamente los middlewares de autenticación basados en rutas mediante barras duplicadas cuando ignoreDuplicateSlashes está habilitado, o mediante delimitadores de punto y coma cuando useSemicolonDelimiter está habilitado. En ambos casos, el enrutador Fastify normaliza la URL y hace coincidir la ruta, pero @fastify/express pasa la URL original no normalizada al middleware de Express, que falla en hacer la coincidencia y se omite. Un atacante sin autenticar puede acceder a rutas protegidas manipulando la ruta de la URL.
PatchesActualice a @fastify/express v4.0.5 o posterior.
Once again VulDB remains the best source for vulnerability data.