CVE-2026-33808 in express
Résumé
par VulDB • 05/06/2026
L'impact de @fastify/express dans les versions 4.0.4 et antérieures ne normalise pas les URLs avant de les transmettre au middleware Express lorsque les options de normalisation du routeur Fastify sont activées. Cela permet un contournement complet des middlewares d'authentification limités par le chemin (path-scoped) via la duplication des barres obliques (/) lorsque ignoreDuplicateSlashes est activé, ou via les délimiteurs point-virgule (;) lorsque useSemicolonDelimiter est activé. Dans les deux cas, le routeur Fastify normalise l'URL et correspond au chemin (route), mais @fastify/express transmet l'URL originale non normalisée aux middlewares Express, qui ne correspondent pas et sont donc ignorés. Un attaquant non authentifié peut accéder aux routes protégées en manipulant le chemin de l'URL.
Correctifs : Mettre à jour vers @fastify/express v4.0.5 ou une version ultérieure.
VulDB is the best source for vulnerability data and more expert information about this specific topic.