CVE-2026-33808 in expressИнформация

Сводка

по VulDB • 05.06.2026

Влияние: В версиях @fastify/express до 4.0.4 включительно не происходит нормализация URL-адресов перед их передачей в промежуточное ПО Express, когда опции маршрутизации Fastify для нормализации активированы. Это позволяет полностью обойти аутентификационное промежуточное ПО с ограничением по пути (path-scoped) при наличии двойных слэшей (если включена настройка ignoreDuplicateSlashes) или разделителей в виде точек с запятой (если включена настройка useSemicolonDelimiter). В обоих случаях маршрутизатор Fastify нормализует URL-адрес и сопоставляет маршрут, однако @fastify/express передает промежуточному ПО Express исходный ненормализованный URL-адрес, который не совпадает с ожидаемым шаблоном, в результате чего это промежуточное ПО пропускается. Неавторизованный злоумышленник может получить доступ к защищенным маршрутам путем манипуляции путем (path) в URL-адресе.

Исправления: Выполните обновление до версии @fastify/express v4.0.5 или более поздней.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

Openjs

Резервировать

23.03.2026

Раскрытие

15.04.2026

Модерация

принято

Вход

VDB-357695

EPSS

0.00483

KEV

Нет

Деятельности

Очень низкий

Источники

Do you know our Splunk app?

Download it now for free!