CVE-2026-33808 in expressthông tin

Tóm tắt

Bởi VulDB • 21/06/2026

Tác động: @fastify/express v4.0.4 và các phiên bản cũ hơn không chuẩn hóa URL trước khi chuyển chúng đến middleware Express khi các tùy chọn chuẩn hóa router Fastify được bật. Điều này cho phép bỏ qua hoàn toàn middleware xác thực theo phạm vi đường dẫn (path-scoped authentication middleware) thông qua việc sử dụng các dấu gạch chéo trùng lặp (duplicate slashes) khi ignoreDuplicateSlashes được bật, hoặc thông qua các dấu phân cách dấu chấm phẩy (semicolon delimiters) khi useSemicolonDelimiter được bật. Trong cả hai trường hợp, router Fastify chuẩn hóa URL và khớp với tuyến đường, nhưng @fastify/express chuyển URL gốc chưa được chuẩn hóa đến middleware Express, middleware này không khớp và bị bỏ qua. Một kẻ tấn công chưa được xác thực có thể truy cập các tuyến đường được bảo vệ bằng cách thao túng đường dẫn URL.

Bản vá: Nâng cấp lên @fastify/express v4.0.5 hoặc mới hơn.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

Openjs

Đặt trước

23/03/2026

Tiết lộ

15/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00483

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!