CVE-2026-22031

Nome do Software Vulnerável e Versões Afetadas @fastify/middie versões anteriores à 9.1.0

Descrição Existe uma vulnerabilidade de segurança no @fastify/middie na qual middleware registrado com um prefixo de caminho específico pode ser contornado utilizando caracteres codificados em URL. Por exemplo, usando /%61dmin em vez de /admin. O mecanismo de middleware falha ao corresponder o caminho codificado, ignorando a execução, mas o roteador do Fastify decodifica o caminho e corresponde ao manipulador da rota, potencialmente permitindo o acesso a endpoints protegidos. O problema ocorre porque o roteador subjacente do Fastify decodifica corretamente o caminho, enquanto o mecanismo de middleware não o faz. Isso permite que atacantes contornem as restrições do middleware e acessem endpoints protegidos.

Recomendações Atualize o @fastify/middie para a versão 9.1.0 ou superior.