Impact@fastify/express v4.0.4 и более ранние версии не могут нормализовать URL-адреса перед их передачей в промежуточное ПО Express, если включены параметры нормализации маршрутизатора Fastify. Это позволяет полностью обойти промежуточное программное обеспечение аутентификации на уровне пути с помощью дублирующихся косых черт, когда ignoreDuplateSlashes включен, или с помощью разделителей точка с запятой, когда включен useSemicolonDelimiter. В обоих случаях маршрутизатор Fastify нормализует URL-адрес и сопоставляет маршрут, но @fastify/express передает исходный ненормализованный URL-адрес промежуточному программному обеспечению Express, которое не соответствует и пропускается.
Злоумышленник, не прошедший проверку подлинности, может получить доступ к защищенным маршрутам, манипулируя URL-путями. ПатчиОбновитесь до @fastify/express v4.0.5 или более поздней версии.
Показать оригинальное описание (EN)
Impact@fastify/express v4.0.4 and earlier fails to normalize URLs before passing them to Express middleware when Fastify router normalization options are enabled. This allows complete bypass of path-scoped authentication middleware via duplicate slashes when ignoreDuplicateSlashes is enabled, or via semicolon delimiters when useSemicolonDelimiter is enabled. In both cases, Fastify router normalizes the URL and matches the route, but @fastify/express passes the original un-normalized URL to Express middleware, which fails to match and is skipped. An unauthenticated attacker can access protected routes by manipulating the URL path. PatchesUpgrade to @fastify/express v4.0.5 or later.
Характеристики атаки
Последствия
Строка CVSS v4.0