Pubblicato il 2026-07-01 · Fonte: NVD NIST
La vulnerabilità CVE-2026-14198 colpisce le versioni 9.1.0 attraverso 9.3.2 di @fastify/middie, permettendo agli attaccanti di bypassare la sicurezza inviando una richiesta URL craftata con un slash codificato. Ciò avviene perché il middleware e il router di Fastify hanno una visione diversa del percorso della richiesta canonica. La vulnerabilità può essere sfruttata senza autenticazione o condizioni speciali e colpisce le versioni specificate di @fastify/middie.
Un attaccante può sfruttare questa vulnerabilità per accedere a risorse protette, come ad esempio quelle protette da autenticazione, autorizzazione, limitazione della velocità o audit, semplicemente inviando una richiesta URL craftata con un slash codificato. Ciò può avere un impatto significativo sulla sicurezza dei sistemi che utilizzano @fastify/middie nelle versioni interessate.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare @fastify/middie alla versione 9.3.3 o successiva. In alternativa, è possibile evitare di utilizzare percorsi di middleware parametrizzati per le decisioni di sicurezza o applicare l'autenticazione al gestore di route o tramite un hook di Fastify che esegue dopo che il router ha risolto la richiesta.
La vulnerabilità CVE-2026-14198 è una vulnerabilità di sicurezza in @fastify/middie che permette agli attaccanti di bypassare la sicurezza inviando una richiesta URL craftata con un slash codificato.
Le versioni 9.1.0 attraverso 9.3.2 di @fastify/middie sono colpite da questa vulnerabilità.
Per proteggersi da questa vulnerabilità, è consigliabile aggiornare @fastify/middie alla versione 9.3.3 o successiva, evitare di utilizzare percorsi di middleware parametrizzati per le decisioni di sicurezza o applicare l'autenticazione al gestore di route o tramite un hook di Fastify.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.