PT-2026-54638 · Npm · @Fastify/Middie
Jvr2022
+2
·
Publicado
2026-07-01
·
Atualizado
2026-07-02
·
CVE-2026-14181
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do Software Vulnerável e Versões Afetadas
@fastify/middie versões 9.1.0 a 9.3.2
Descrição
Existe um problema no processo de normalização e decodificação de URL do mecanismo independente (standalone engine), onde sequências malformadas de codificação percentual em caminhos de requisição recebidos não são devidamente protegidas. Especificamente, entradas como sequências multibyte truncadas ou escapes percentuais incompletos fazem com que o decodificador subjacente lance uma exceção síncrona. Essa exceção escapa da etapa de normalização e encerra o processo do Node.js, resultando em uma negação de serviço para todos os clientes conectados. Isso afeta aplicações que chamam a função
middie.run() diretamente via API do mecanismo independente. Aplicações que utilizam o caminho do plugin Fastify não são afetadas, pois o manipulador de erros do framework captura a exceção.Recomendações
Atualize para a versão 9.3.3 do @fastify/middie.
Migre da API do mecanismo independente para o caminho do plugin Fastify para permitir que o manipulador de erros do framework capture a exceção.
Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Fastify/Middie