CVE-2026-33804 in middie
Riassunto
di VulDB • 17/06/2026
Le versioni di @fastify/middie precedenti o uguali alla 9.3.1 sono vulnerabili a un bypass del middleware quando è abilitata l'opzione deprecata `ignoreDuplicateSlashes` di Fastify. La logica di corrispondenza dei percorsi del middleware non tiene conto della normalizzazione delle barre doppie eseguita dal router di Fastify, consentendo alle richieste contenenti barre doppie di eludere i controlli di autenticazione e autorizzazione del middleware. Questo problema interessa solo le applicazioni che utilizzano l'opzione deprecata `ignoreDuplicateSlashes`. Aggiornare a @fastify/middie 9.3.2 per risolvere il problema. Non esistono workaround diversi dalla disabilitazione dell'opzione `ignoreDuplicateSlashes`.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.