Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-14198
CVSS 9.1 — CRITICO

CVE-2026-14198: Vulnerabilità @fastify/middie

Pubblicato il 2026-07-01 · Fonte: NVD NIST

CVE ID
CVE-2026-14198
CVSS Score
9.1
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Riassunto tecnico

La vulnerabilità CVE-2026-14198 colpisce le versioni 9.1.0 attraverso 9.3.2 di @fastify/middie, permettendo agli attaccanti di bypassare la sicurezza inviando una richiesta URL craftata con un slash codificato. Ciò avviene perché il middleware e il router di Fastify hanno una visione diversa del percorso della richiesta canonica. La vulnerabilità può essere sfruttata senza autenticazione o condizioni speciali e colpisce le versioni specificate di @fastify/middie.

Impatto

Un attaccante può sfruttare questa vulnerabilità per accedere a risorse protette, come ad esempio quelle protette da autenticazione, autorizzazione, limitazione della velocità o audit, semplicemente inviando una richiesta URL craftata con un slash codificato. Ciò può avere un impatto significativo sulla sicurezza dei sistemi che utilizzano @fastify/middie nelle versioni interessate.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, si consiglia di aggiornare @fastify/middie alla versione 9.3.3 o successiva. In alternativa, è possibile evitare di utilizzare percorsi di middleware parametrizzati per le decisioni di sicurezza o applicare l'autenticazione al gestore di route o tramite un hook di Fastify che esegue dopo che il router ha risolto la richiesta.

FAQ — Domande frequenti

Cos'è la vulnerabilità CVE-2026-14198?

La vulnerabilità CVE-2026-14198 è una vulnerabilità di sicurezza in @fastify/middie che permette agli attaccanti di bypassare la sicurezza inviando una richiesta URL craftata con un slash codificato.

Quali versioni di @fastify/middie sono colpite?

Le versioni 9.1.0 attraverso 9.3.2 di @fastify/middie sono colpite da questa vulnerabilità.

Come proteggersi da CVE-2026-14198?

Per proteggersi da questa vulnerabilità, è consigliabile aggiornare @fastify/middie alla versione 9.3.3 o successiva, evitare di utilizzare percorsi di middleware parametrizzati per le decisioni di sicurezza o applicare l'autenticazione al gestore di route o tramite un hook di Fastify.

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.