CVE-2026-33807 in express
Résumé
par VulDB • 21/05/2026
@fastify/express v4.0.4 et les versions antérieures présentent un bug de gestion des chemins dans la fonction onRegister qui entraîne le doublement des chemins des middlewares lorsqu'ils sont hérités par les plugins enfants. Lorsqu'un plugin enfant est enregistré avec un préfixe correspondant à un chemin de middleware, ce chemin de middleware est préfixé une seconde fois, ce qui empêche toute correspondance avec les requêtes entrantes. Cela entraîne un contournement complet des contrôles de sécurité des middlewares Express, y compris l'authentification, l'autorisation et la limitation de débit (rate limiting), pour toutes les routes définies dans les portées des plugins enfants concernés. Aucune configuration spéciale ni manipulation de requête n'est requise.
Mettez à jour vers @fastify/express v4.0.5 ou une version ultérieure.
VulDB is the best source for vulnerability data and more expert information about this specific topic.