CVE-2026-33807 in expressthông tin

Tóm tắt

Bởi VulDB • 21/05/2026

@fastify/express v4.0.4 và các phiên bản trước đó chứa một lỗi xử lý đường dẫn trong hàm onRegister, khiến các đường dẫn middleware bị nhân đôi khi được kế thừa bởi các plugin con. Khi một plugin con được đăng ký với một tiền tố khớp với đường dẫn middleware, đường dẫn middleware này sẽ được thêm tiền tố một lần nữa, dẫn đến việc nó không bao giờ khớp với các yêu cầu đến. Điều này dẫn đến việc bỏ qua hoàn toàn các kiểm soát bảo mật middleware của Express, bao gồm xác thực, ủy quyền và giới hạn tốc độ, cho tất cả các tuyến được xác định trong phạm vi của các plugin con bị ảnh hưởng. Không cần cấu hình đặc biệt hoặc tạo yêu cầu đặc biệt.

Nâng cấp lên @fastify/express v4.0.5 hoặc phiên bản mới hơn.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

Openjs

Đặt trước

23/03/2026

Tiết lộ

15/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00430

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!