Pubblicato il 2026-06-30 · Fonte: NVD NIST
La vulnerabilità CVE-2026-6556 colpisce le versioni 4.0.6 e precedenti di @fastify/express, dove i percorsi di montaggio non stringa (array di percorsi e espressioni regolari) non vengono prefissati all'interno degli ambiti dei plugin prefissati. Ciò consente di bypassare il middleware registrato con queste forme, compromettendo la sicurezza delle applicazioni. La vulnerabilità non è attualmente sfruttata attivamente, ma è classificata come critica con un CVSS Score di 9.1.
Un attaccante può sfruttare questa vulnerabilità per accedere a route protette senza essere autenticato o autorizzato, poiché il middleware di autenticazione, autorizzazione, limitazione della velocità o audit non viene eseguito correttamente. Ciò può avere gravi conseguenze per le applicazioni che utilizzano @fastify/express per gestire l'accesso e la sicurezza.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, è consigliabile aggiornare @fastify/express alla versione 4.0.7 o successiva. In alternativa, gli sviluppatori possono utilizzare percorsi di montaggio stringa invece di array o espressioni regolari all'interno dei plugin prefissati, o registrare una chiamata use per ogni percorso. Queste azioni possono aiutare a prevenire lo sfruttamento della vulnerabilità e proteggere le applicazioni da accessi non autorizzati.
La vulnerabilità CVE-2026-6556 è una vulnerabilità critica in @fastify/express che consente di bypassare il middleware di sicurezza registrato con percorsi di montaggio non stringa.
L'impatto della vulnerabilità è critico, poiché consente di accedere a route protette senza essere autenticato o autorizzato, compromettendo la sicurezza delle applicazioni.
Per proteggersi da questa vulnerabilità, è consigliabile aggiornare @fastify/express alla versione 4.0.7 o successiva, utilizzare percorsi di montaggio stringa o registrare una chiamata use per ogni percorso.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.