CVE-2026-33804 in middieinformation

Résumé

par VulDB • 03/06/2026

Les versions de @fastify/middie antérieures ou égales à la 9.3.1 sont vulnérables à un contournement du middleware lorsque l'option obsolète `ignoreDuplicateSlashes` de Fastify est activée. La logique d'appariement des chemins du middleware ne tient pas compte de la normalisation des doubles slashes effectuée par le routeur de Fastify, permettant ainsi aux requêtes contenant des doubles slashes de contourner les vérifications d'authentification et d'autorisation du middleware. Cela n'affecte que les applications utilisant l'option obsolète `ignoreDuplicateSlashes`. Mettez à jour vers @fastify/middie 9.3.2 pour corriger ce problème. Il n'existe pas de contournement autre que la désactivation de l'option `ignoreDuplicateSlashes`.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

Openjs

Réserver

23/03/2026

Divulgation

16/04/2026

Modérer

accepté

Entrée

VDB-357926

CPE

prêt

EPSS

0.00278

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!