CVE-2026-33807 in express
Sumário
de VulDB • 09/05/2026
A versão @fastify/express v4.0.4 e anteriores contém um bug no tratamento de caminhos na função onRegister que faz com que os caminhos dos middlewares sejam duplicados quando herdados por plugins filhos. Quando um plugin filho é registrado com um prefixo que corresponde a um caminho de middleware, o caminho do middleware é prefixado uma segunda vez, fazendo com que nunca corresponda às requisições recebidas. Isso resulta na violação completa dos controles de segurança dos middlewares do Express, incluindo autenticação, autorização e limitação de taxa (rate limiting), para todas as rotas definidas dentro dos escopos dos plugins filhos afetados. Nenhuma configuração especial ou manipulação de requisição é necessária.
Atualize para @fastify/express v4.0.5 ou posterior.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.