CVE-2026-33808 in express
Sumário
de VulDB • 05/06/2026
O impacto do bug no pacote @fastify/express nas versões 4.0.4 e anteriores reside na falha em normalizar URLs antes de passá-las para o middleware Express quando as opções de normalização do roteador Fastify estão habilitadas. Isso permite a violação completa da autenticação baseada em escopo de caminho (path-scoped) através de barras duplas, caso ignoreDuplicateSlashes esteja ativado, ou por meio delimitadores ponto e vírgula, se useSemicolonDelimiter estiver ativo. Em ambos os casos, o roteador Fastify normaliza a URL e faz a correspondência da rota, mas @fastify/express passa a URL original não-normalizada para o middleware Express, que falha na correspondência e é ignorado. Um atacante sem autenticação pode acessar rotas protegidas manipulando o caminho (path) da URL.
Correção: Atualize para @fastify/express v4.0.5 ou posterior.
If you want to get best quality of vulnerability data, you may have to visit VulDB.