CVE-2026-33804
HIGHCVSS v3.1: 7.4
出典データ取得時点:
概要
- 深刻度
- HIGH
- CVSS
- 7.4 v3.1 · NVD
- EPSS
- このCVEはFIRST.orgからEPSSが提供されていません
- CISA KEV
- 非該当
- 攻撃条件(CVSSベクター)
- ネットワーク権限不要操作不要 · 出典: NVD ベクター
- 公開日
- 2026-04-16 · 更新日: 2026-04-16
- 参照情報
- 参照情報へ移動 (2)
CVSS / EPSS / KEV
出典 — CVSS: NVD · EPSS: FIRST.org · KEV: CISA. データと出典
説明
@fastify/middie versions 9.3.1 and earlier are vulnerable to middleware bypass when the deprecated Fastify ignoreDuplicateSlashes option is enabled. The middleware path matching logic does not account for duplicate slash normalization performed by Fastify's router, allowing requests with duplicate slashes to bypass middleware authentication and authorization checks. This only affects applications using the deprecated ignoreDuplicateSlashes option. Upgrade to @fastify/middie 9.3.2 to fix this issue. There are no workarounds other than disabling the ignoreDuplicateSlashes option.
参照情報
NVDが列挙した参照URLを、リンクのホスト・パターンに対する機械的な一致でグループ化したもの。ラベルはリンクの種別のみを示します。