| タイトル | Open JS Foundationの@fastify/middieにおける解釈の競合に関する脆弱性 |
|---|---|
| 概要 | @fastify/middie バージョン9.3.1以前には、廃止予定の Fastify の ignoreDuplicateSlashes オプションが有効になっている場合に、ミドルウェアのバイパス脆弱性が存在します。ミドルウェアのパス一致ロジックは Fastify のルーターによって行われる重複スラッシュの正規化を考慮しておらず、重複スラッシュを含むリクエストがミドルウェアによる認証および認可チェックをバイパスしてしまいます。これは廃止予定の ignoreDuplicateSlashes オプションを使用しているアプリケーションにのみ影響があります。本問題を修正するには、@fastify/middie をバージョン9.3.2にアップグレードしてください。ignoreDuplicateSlashes オプションを無効にする以外の回避策はありません。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月16日0:00 |
| 登録日 | 2026年4月24日11:30 |
| 最終更新日 | 2026年4月24日11:30 |
| CVSS3.0 : 緊急 | |
| スコア | 9.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
| Open JS Foundation |
| @fastify/middie 9.3.2 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月24日] 掲載 |
2026年4月24日11:30 |
| 概要 | @fastify/middie versions 9.3.1 and earlier are vulnerable to middleware bypass when the deprecated Fastify ignoreDuplicateSlashes option is enabled. The middleware path matching logic does not account for duplicate slash normalization performed by Fastify's router, allowing requests with duplicate slashes to bypass middleware authentication and authorization checks. This only affects applications using the deprecated ignoreDuplicateSlashes option. Upgrade to @fastify/middie 9.3.2 to fix this issue. There are no workarounds other than disabling the ignoreDuplicateSlashes option. |
|---|---|
| 公表日 | 2026年4月17日0:17 |
| 登録日 | 2026年4月17日4:12 |
| 最終更新日 | 2026年4月23日2:30 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:openjsf:\@fastify\/middie:*:*:*:*:*:fastify:*:* | 9.3.2 | ||||