Šta se desilo?

Otkrivena je kritična ranjivost u biblioteci @fastify/express (verzija 4.0.6 i starije) koja omogućava napadačima da zaobidu sigurnosne mehanizme. Problem je u tome što se prefiksi dodataka (plugins) ne primenjuju pravilno na rute koje koriste nizove putanja ili regularne izraze kao parametre, što dovodi do toga da sigurnosni slojevi poput autentifikacije ili rate limitiranja budu preskočeni.

Koga pogađa?

Razvojni timovi i servisi koji koriste @fastify/express verzije 4.0.6 ili starije, posebno oni koji se oslanjaju na middleware zaštitu za autentifikaciju, autorizaciju, ograničavanje broja zahteva ili reviziju. Ugroženi su svi javno dostupni servisi pokrenuti na ovim verzijama.

Kako se zaštititi?

  • Odmah ažurirajte @fastify/express na verziju 4.0.7 ili noviju
  • Ako ažuriranje nije moguće, koristite isključivo stringove za definisanje putanja u middleware-u umesto nizova ili regularnih izraza
  • Kao privremeno rešenje, registrujte poseban middleware poziv za svaku putanju umesto korišćenja nizova
  • Pregleajte logove pristupa kako biste detektovali eventualne napade koji koriste ovu ranjivost

Tehnički detalji

CVE-2026-6556 se javlja jer @fastify/express ne prepisuje prefikse plugin-a za mount putanje koje nisu string tipa (nizove ili regularne izraze). Ranjivost ima CVSS skor od 9.1, što je označeno kao kritično. Zahtev se logički uklapa u rutu, ali se sigurnosni middleware ne primenjuje na očekivani način, što omogućava autentifikovane ili neautentifikovane napade u zavisnosti od konfiguracije.

Preporuka Sajber Radara

Ova ranjivost predstavlja ozbiljan rizik za sve koji koriste @fastify/express. Hitno ažurirajte na verziju 4.0.7 i proverite da li ste slučajno primenjivali nizove ili regularne izraze kao mount putanje u vašim pluginima - konvertujte ih u stringove.