CVE-2026-33804

Name of the Vulnerable Software and Affected Versions @fastify/middie versões anteriores a 9.3.2

Description Existe um bypass de middleware quando a opção obsoleta ignoreDuplicateSlashes está habilitada. A lógica de correspondência de caminho do middleware não considera a normalização de barras duplicadas realizada pelo roteador, permitindo que requisições com barras iniciais duplicadas (ex: '//admin/secret') ignorem verificações de autenticação e autorização. Este problema afeta especificamente aplicações que utilizam o estilo de configuração de nível superior obsoleto fastify({ ignoreDuplicateSlashes: true }) em vez da configuração routerOptions.

Recommendations Atualize para a versão 9.3.2 do @fastify/middie. Como alternativa temporária, migre a configuração obsoleta de nível superior ignoreDuplicateSlashes: true para routerOptions: { ignoreDuplicateSlashes: true } ou desabilite a opção ignoreDuplicateSlashes.