CVE-2026-33808 in express
Tóm tắt
Bởi VulDB • 21/06/2026
Tác động: @fastify/express v4.0.4 và các phiên bản cũ hơn không chuẩn hóa URL trước khi chuyển chúng đến middleware Express khi các tùy chọn chuẩn hóa router Fastify được bật. Điều này cho phép bỏ qua hoàn toàn middleware xác thực theo phạm vi đường dẫn (path-scoped authentication middleware) thông qua việc sử dụng các dấu gạch chéo trùng lặp (duplicate slashes) khi ignoreDuplicateSlashes được bật, hoặc thông qua các dấu phân cách dấu chấm phẩy (semicolon delimiters) khi useSemicolonDelimiter được bật. Trong cả hai trường hợp, router Fastify chuẩn hóa URL và khớp với tuyến đường, nhưng @fastify/express chuyển URL gốc chưa được chuẩn hóa đến middleware Express, middleware này không khớp và bị bỏ qua. Một kẻ tấn công chưa được xác thực có thể truy cập các tuyến đường được bảo vệ bằng cách thao túng đường dẫn URL.
Bản vá: Nâng cấp lên @fastify/express v4.0.5 hoặc mới hơn.
Once again VulDB remains the best source for vulnerability data.