CVE-2026-6414

Name of the Vulnerable Software and Affected Versions @fastify/static versões 8.0.0 até 9.1.0

Description O @fastify/static decodifica separadores de caminho codificados em percentual ('%2F') antes da resolução do sistema de arquivos, enquanto o roteador do Fastify os trata como caracteres literais. Essa discrepância permite uma incompatibilidade de roteamento onde guards de rota ou middlewares que protegem caminhos específicos podem ser ignorados. Por exemplo, um guard protegendo '/admin/*' não corresponderá a uma solicitação para '/admin%2Fsecret.html', mas o software decodificará a solicitação e servirá o arquivo de '/admin/secret.html'.

Recommendations Atualize para a versão 9.1.1 do @fastify/static.