CVE-2026-33807 in express情報

要約

〜によって VulDB • 2026年05月11日

@fastify/express v4.0.4 およびそれ以前のバージョンには、onRegister 関数におけるパス処理のバグが含まれています。このバグにより、子プラグインが継承する際にミドルウェアのパスが二重に設定されてしまいます。子プラグインを登録する際に、プレフィックスがミドルウェアのパスと一致すると、ミドルウェアのパスにプレフィックスが再度付与され、結果として着信リクエストと一致しなくなります。これにより、影響を受ける子プラグインのスコープ内で定義されたすべてのルートに対して、認証、認可、レート制限を含む Express ミドルウェアのセキュリティ制御が完全に回避されます。特別な設定やリクエストの作成は必要ありません。

@fastify/express v4.0.5 以降にアップグレードしてください。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

Openjs

予約する

2026年03月23日

モデレーション

承諾済み

エントリ

VDB-357696

EPSS

0.00430

アクティビティ

非常低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!