CVE-2026-6556

Nome do Software Vulnerável e Versões Afetadas @fastify/express versões anteriores a 4.0.7

Description Uma falha de escopo de middleware ocorre quando os prefixos de plugin não são aplicados aos caminhos de montagem de middleware quando o caminho de montagem é fornecido como um array ou uma expressão regular. Isso acontece devido ao tratamento inadequado de entrada durante a normalização de prefixos e caminhos, fazendo com que o middleware seja registrado sem o prefixo dentro de escopos de plugin prefixados. Um invasor pode ignorar controles de segurança, como autenticação, autorização, limitação de taxa ou auditoria, enviando solicitações para rotas sob um plugin prefixado onde o middleware foi montado usando caminhos que não sejam strings. O Fastify continua a corresponder à rota, mas o middleware associado é ignorado.

Recommendations Atualize para a versão 4.0.7 do @fastify/express. Como solução temporária, utilize caminhos de montagem do tipo string em vez de arrays ou expressões regulares em plugins prefixados, ou registre uma chamada use por caminho.