CVE-2026-33808

Name of the Vulnerable Software and Affected Versions @fastify/express versões anteriores a 4.0.5

Description Existe um problema onde o software falha ao normalizar URLs antes de passá-las para o middleware do Express quando as opções de normalização do roteador Fastify estão habilitadas. Isso permite que um invasor não autenticado ignore o middleware de autenticação com escopo de caminho manipulando o caminho da URL. Especificamente, a evasão ocorre por meio de barras duplicadas quando ignoreDuplicateSlashes está habilitado, ou por meio de delimitadores de ponto e vírgula quando useSemicolonDelimiter está habilitado. Nesses cenários, o roteador Fastify normaliza a URL para corresponder à rota, mas a URL original não normalizada é passada para o middleware do Express, fazendo com que ele não corresponda e seja ignorado.

Recommendations Atualize para @fastify/express v4.0.5 ou posterior.