Vulnerabilities ›

CVE-2026-2293

Medium

A NestJS application using @nestjs/platform-fastify can allow bypass of authentication/authorization middleware when Fastify path-normalization options are enabled. This issue affects nest.Js: 11.1

CWE-863 — Weakness Type

                    Published: Feb 27, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

🔗 NVD Official

📄 Description (English)

A NestJS application using @nestjs/platform-fastify can allow bypass of authentication/authorization middleware when Fastify path-normalization options are enabled.

This issue affects nest.Js: 11.1.13.

🤖 AI Executive Summary

NestJS applications using @nestjs/platform-fastify with enabled path-normalization options can bypass authentication and authorization middleware, allowing unauthorized access. This vulnerability affects NestJS version 11.1.13 and requires immediate patching.

📄 Description (Arabic)

تسمح هذه الثغرة للمهاجمين بتجاوز آليات المصادقة والتفويض في تطبيقات NestJS عند استخدام منصة Fastify مع تفعيل خيارات تطبيع المسارات. يمكن للمهاجمين الوصول إلى موارد محمية دون بيانات اعتماد صحيحة. التأثير الأساسي هو فقدان السيطرة على الوصول إلى البيانات والوظائف الحساسة.

🤖 ملخص تنفيذي (AI)

تطبيقات NestJS التي تستخدم @nestjs/platform-fastify مع تفعيل خيارات تطبيع المسارات يمكن أن تتجاوز برامج المصادقة والتفويض الوسيطة. تؤثر هذه الثغرة على إصدار NestJS 11.1.13 وتتطلب تصحيحًا فوريًا.

🤖 AI Intelligence Analysis Analyzed: May 30, 2026 07:38

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1548 T1190 T1021

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update NestJS to version 11.1.14 or later immediately. Disable Fastify path-normalization options in production environments if immediate patching is not possible. Review and audit all authentication middleware implementations for potential bypasses.

🔧 خطوات المعالجة (العربية)

قم بتحديث NestJS إلى الإصدار 11.1.14 أو أحدث فوراً. عطّل خيارات تطبيع مسارات Fastify في بيئات الإنتاج إذا لم يكن التصحيح الفوري ممكناً. راجع وتدقيق جميع تطبيقات برامج المصادقة الوسيطة للتحقق من الثغرات المحتملة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1 5.2 5.3

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 References & Sources 3

🔗

https://fluidattacks.com/advisories/neton

help@fluidattacks.com

🔗