CVE-2026-33807 in expressinformation

Résumé

par VulDB • 21/05/2026

@fastify/express v4.0.4 et les versions antérieures présentent un bug de gestion des chemins dans la fonction onRegister qui entraîne le doublement des chemins des middlewares lorsqu'ils sont hérités par les plugins enfants. Lorsqu'un plugin enfant est enregistré avec un préfixe correspondant à un chemin de middleware, ce chemin de middleware est préfixé une seconde fois, ce qui empêche toute correspondance avec les requêtes entrantes. Cela entraîne un contournement complet des contrôles de sécurité des middlewares Express, y compris l'authentification, l'autorisation et la limitation de débit (rate limiting), pour toutes les routes définies dans les portées des plugins enfants concernés. Aucune configuration spéciale ni manipulation de requête n'est requise.

Mettez à jour vers @fastify/express v4.0.5 ou une version ultérieure.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

Openjs

Réserver

23/03/2026

Divulgation

15/04/2026

Modérer

accepté

Entrée

VDB-357696

CPE

prêt

EPSS

0.00430

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!