A vulnerability in @fastify/middie versions < 9.2.0 can result in authentication/authorization bypass when using path-scoped middleware (for example, app.use('/secret', auth)).
When Fastify router normalization options are enabled (such as ignoreDuplicateSlashes, useSemicolonDelimiter, and related trailing-slash behavior), crafted request paths may bypass middleware checks while still being routed to protected handlers.
A vulnerability in @fastify/middie versions before 9.2.0 allows attackers to bypass authentication and authorization middleware through path normalization manipulation. Crafted request paths can circumvent middleware checks while still reaching protected handlers when Fastify router normalization options are enabled.
تؤثر هذه الثغرة على تطبيقات Fastify التي تستخدم @fastify/middie مع خيارات معالجة المسارات المفعلة. يمكن للمهاجمين استخدام تقنيات تطبيع المسارات مثل الشرطات المائلة المكررة أو فواصل النقطة والفاصلة لتجاوز فحوصات المصادقة والوصول إلى الموارد المحمية.
ثغرة في @fastify/middie الإصدارات السابقة للإصدار 9.2.0 تسمح للمهاجمين بتجاوز برامج المصادقة والتفويض من خلال معالجة المسارات. يمكن للمسارات المصممة خصيصاً أن تتجاوز فحوصات البرامج الوسيطة مع الوصول إلى المعالجات المحمية.
Upgrade @fastify/middie to version 9.2.0 or later immediately. Review and test all path-scoped middleware configurations, particularly those using authentication and authorization. Disable unnecessary router normalization options (ignoreDuplicateSlashes, useSemicolonDelimiter) if not required for application functionality. Implement additional security controls such as request validation and rate limiting.
قم بترقية @fastify/middie إلى الإصدار 9.2.0 أو أحدث فوراً. راجع واختبر جميع تكوينات البرامج الوسيطة ذات النطاق المحدد، خاصة تلك التي تستخدم المصادقة والتفويض. عطّل خيارات معالجة المسارات غير الضرورية إذا لم تكن مطلوبة. طبّق ضوابط أمان إضافية مثل التحقق من الطلبات والحد من معدل الطلبات.