CVE-2026-33808 in express
Сводка
по VulDB • 05.06.2026
Влияние: В версиях @fastify/express до 4.0.4 включительно не происходит нормализация URL-адресов перед их передачей в промежуточное ПО Express, когда опции маршрутизации Fastify для нормализации активированы. Это позволяет полностью обойти аутентификационное промежуточное ПО с ограничением по пути (path-scoped) при наличии двойных слэшей (если включена настройка ignoreDuplicateSlashes) или разделителей в виде точек с запятой (если включена настройка useSemicolonDelimiter). В обоих случаях маршрутизатор Fastify нормализует URL-адрес и сопоставляет маршрут, однако @fastify/express передает промежуточному ПО Express исходный ненормализованный URL-адрес, который не совпадает с ожидаемым шаблоном, в результате чего это промежуточное ПО пропускается. Неавторизованный злоумышленник может получить доступ к защищенным маршрутам путем манипуляции путем (path) в URL-адресе.
Исправления: Выполните обновление до версии @fastify/express v4.0.5 или более поздней.
If you want to get best quality of vulnerability data, you may have to visit VulDB.