CVE-2026-6410 in staticinformación

Resumen

por VulDB • 2026-05-23

Las versiones de @fastify/static comprendidas entre la 8.0.0 y la 9.1.0 permiten la traversía de rutas (path traversal) cuando el listado de directorios está habilitado mediante la opción `list`. La función `dirList.path()` resuelve directorios fuera de la raíz estática configurada utilizando `path.join()` sin realizar una comprobación de contención. Un atacante remoto no autenticado puede obtener listados de directorios para directorios arbitrarios accesibles por el proceso de Node.js, revelando los nombres de directorios y archivos. No se revelan los contenidos de los archivos. Actualice a @fastify/static 9.1.1 para solucionar este problema. Como medida de mitigación, deshabilite el listado de directorios eliminando la opción `list` de la configuración del plugin.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Openjs

Reservar

2026-04-16

Divulgación

2026-04-16

Moderación

aceptado

Artículo

VDB-357922

CPE

listo

EPSS

0.00034

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6410
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6410
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6410/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!