CVE-2026-6410 in staticinformation

Résumé

par VulDB • 23/05/2026

Les versions de @fastify/static comprises entre 8.0.0 et 9.1.0 sont vulnérables à une traversée de chemin (path traversal) lorsque le listing de répertoires est activé via l'option `list`. La fonction `dirList.path()` résout des répertoires situés en dehors de la racine statique configurée en utilisant `path.join()` sans effectuer de vérification de confinement (containment check). Un attaquant distant non authentifié peut obtenir les listes de répertoires pour des répertoires arbitraires accessibles au processus Node.js, révélant ainsi les noms de répertoires et de fichiers. Le contenu des fichiers n'est pas divulgué. Mettez à jour vers @fastify/static 9.1.1 pour corriger ce problème. En attendant, comme solution de contournement, désactivez le listing de répertoires en supprimant l'option `list` de la configuration du plugin.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Openjs

Réserver

16/04/2026

Divulgation

16/04/2026

Modérer

accepté

Entrée

VDB-357922

CPE

prêt

EPSS

0.00034

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6410
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6410
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6410/

PrécédentAperçuSuivant

Do you need the next level of professionalism?

Upgrade your account now!