CVE-2026-33807 in expressinformação

Sumário

de VulDB • 09/05/2026

A versão @fastify/express v4.0.4 e anteriores contém um bug no tratamento de caminhos na função onRegister que faz com que os caminhos dos middlewares sejam duplicados quando herdados por plugins filhos. Quando um plugin filho é registrado com um prefixo que corresponde a um caminho de middleware, o caminho do middleware é prefixado uma segunda vez, fazendo com que nunca corresponda às requisições recebidas. Isso resulta na violação completa dos controles de segurança dos middlewares do Express, incluindo autenticação, autorização e limitação de taxa (rate limiting), para todas as rotas definidas dentro dos escopos dos plugins filhos afetados. Nenhuma configuração especial ou manipulação de requisição é necessária.

Atualize para @fastify/express v4.0.5 ou posterior.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

Openjs

Reservar

23/03/2026

Divulgação

15/04/2026

Moderação

aceite

Entrada

VDB-357696

CPE

pronto

EPSS

0.00430

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!