製品・ソフトウェアに関する情報

JVN脆弱性詳細

Open JS Foundationの@fastify/middieにおける解釈の競合に関する脆弱性

Title	Open JS Foundationの@fastify/middieにおける解釈の競合に関する脆弱性
Summary	@fastify/middie バージョン9.3.1以前には、廃止予定の Fastify の ignoreDuplicateSlashes オプションが有効になっている場合に、ミドルウェアのバイパス脆弱性が存在します。ミドルウェアのパス一致ロジックは Fastify のルーターによって行われる重複スラッシュの正規化を考慮しておらず、重複スラッシュを含むリクエストがミドルウェアによる認証および認可チェックをバイパスしてしまいます。これは廃止予定の ignoreDuplicateSlashes オプションを使用しているアプリケーションにのみ影響があります。本問題を修正するには、@fastify/middie をバージョン9.3.2にアップグレードしてください。ignoreDuplicateSlashes オプションを無効にする以外の回避策はありません。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 16, 2026, midnight
Registration Date	April 24, 2026, 11:30 a.m.
Last Update	April 24, 2026, 11:30 a.m.

CVSS3.0 : 緊急
Score	9.1
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Affected System

Open JS Foundation

@fastify/middie 9.3.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-33804	https://www.cve.org/CVERecord?id=CVE-2026-33804
National Vulnerability Database (NVD)
2	CVE-2026-33804	https://nvd.nist.gov/vuln/detail/CVE-2026-33804

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-436	https://cwe.mitre.org/data/definitions/436.html

ベンダー情報

No	Name	URL
GitHub
1	@fastify/middie vulnerable to middleware bypass via deprecated ignoreDuplicateSlashes option Advisory fastify/middie GitHub	https://github.com/fastify/middie/security/advisories/GHSA-v9ww-2j6r-98q6
Open JS Foundation
2	Security Advisories \| OpenJS Foundation CVE Numbering Authority	https://cna.openjsf.org/security-advisories.html

Change Log

No	Changed Details	Date of change
1	[2026年04月24日] 掲載	April 24, 2026, 11:30 a.m.

NVD Vulnerability Information

CVE-2026-33804

Summary	@fastify/middie versions 9.3.1 and earlier are vulnerable to middleware bypass when the deprecated Fastify ignoreDuplicateSlashes option is enabled. The middleware path matching logic does not account for duplicate slash normalization performed by Fastify's router, allowing requests with duplicate slashes to bypass middleware authentication and authorization checks. This only affects applications using the deprecated ignoreDuplicateSlashes option. Upgrade to @fastify/middie 9.3.2 to fix this issue. There are no workarounds other than disabling the ignoreDuplicateSlashes option.
Publication Date	April 17, 2026, 12:17 a.m.
Registration Date	April 17, 2026, 4:12 a.m.
Last Update	April 23, 2026, 2:30 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:openjsf:\@fastify\/middie::::::fastify::*					9.3.2

Related information, measures and tools

No	URL	refsource	タグ
1	https://cna.openjsf.org/security-advisories.html	ce714d77-add3-4f53-aff5-83d477b104bb
2	https://github.com/fastify/middie/security/advisories/GHSA-v9ww-2j6r-98q6	ce714d77-add3-4f53-aff5-83d477b104bb

Common Vulnerabilities List