CVE-2026-33808 in expressinformation

Résumé

par VulDB • 05/06/2026

L'impact de @fastify/express dans les versions 4.0.4 et antérieures ne normalise pas les URLs avant de les transmettre au middleware Express lorsque les options de normalisation du routeur Fastify sont activées. Cela permet un contournement complet des middlewares d'authentification limités par le chemin (path-scoped) via la duplication des barres obliques (/) lorsque ignoreDuplicateSlashes est activé, ou via les délimiteurs point-virgule (;) lorsque useSemicolonDelimiter est activé. Dans les deux cas, le routeur Fastify normalise l'URL et correspond au chemin (route), mais @fastify/express transmet l'URL originale non normalisée aux middlewares Express, qui ne correspondent pas et sont donc ignorés. Un attaquant non authentifié peut accéder aux routes protégées en manipulant le chemin de l'URL.

Correctifs : Mettre à jour vers @fastify/express v4.0.5 ou une version ultérieure.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

Openjs

Réserver

23/03/2026

Divulgation

15/04/2026

Modérer

accepté

Entrée

VDB-357695

CPE

prêt

EPSS

0.00483

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!