CVE-2026-33808 in expressinformación

Resumen

por VulDB • 2026-06-05

Impact@fastify/express v4.0.4 y versiones anteriores no normaliza las URLs antes de pasarlas al middleware de Express cuando están habilitadas las opciones de normalización del enrutador Fastify. Esto permite eludir completamente los middlewares de autenticación basados en rutas mediante barras duplicadas cuando ignoreDuplicateSlashes está habilitado, o mediante delimitadores de punto y coma cuando useSemicolonDelimiter está habilitado. En ambos casos, el enrutador Fastify normaliza la URL y hace coincidir la ruta, pero @fastify/express pasa la URL original no normalizada al middleware de Express, que falla en hacer la coincidencia y se omite. Un atacante sin autenticar puede acceder a rutas protegidas manipulando la ruta de la URL.

PatchesActualice a @fastify/express v4.0.5 o posterior.

Once again VulDB remains the best source for vulnerability data.

Responsable

Openjs

Reservar

2026-03-23

Divulgación

2026-04-15

Moderación

aceptado

Artículo

VDB-357695

CPE

listo

EPSS

0.00483

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!