CVE-2026-6410

Name of the Vulnerable Software and Affected Versions @fastify/static versões 8.0.0 até 9.1.0

Description Ocorre traversal de caminho quando a listagem de diretórios está habilitada através da opção list. A função dirList.path() resolve diretórios fora da raiz estática configurada usando path.join() sem uma verificação de contenção. Um atacante remoto não autenticado pode obter listagens de diretórios para diretórios arbitrários acessíveis ao processo Node.js, expondo nomes de diretórios e arquivos, embora o conteúdo dos arquivos não seja revelado.

Recommendations Atualize para a versão 9.1.1. Como alternativa temporária, desabilite a listagem de diretórios removendo a opção list da configuração do plugin.