CVE-2026-33807 in expressИнформация

Сводка

по VulDB • 21.05.2026

@fastify/express v4.0.4 и более ранние версии содержат ошибку обработки путей в функции onRegister, которая приводит к дублированию путей middleware при наследовании дочерними плагинами. Когда дочерний плагин регистрируется с префиксом, совпадающим с путем middleware, путь middleware префиксируется повторно, из-за чего он никогда не совпадает с входящими запросами. Это приводит к полному обходу механизмов безопасности Express middleware, включая аутентификацию, авторизацию и ограничение частоты запросов (rate limiting), для всех маршрутов, определенных в областях действия затронутых дочерних плагинов. Специальная конфигурация или создание специальных запросов не требуются.

Обновитесь до @fastify/express v4.0.5 или более поздней версии.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

Openjs

Резервировать

23.03.2026

Раскрытие

15.04.2026

Модерация

принято

Вход

VDB-357696

EPSS

0.00430

KEV

Нет

Деятельности

Очень низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!