漏洞关键信息 漏洞标题 Improper path normalization 发布时间 8 hours ago 漏洞详情 摘要: 漏洞涉及在 中路径规范化不一致,这可能导致在使用路径作用域中间件时出现身份验证/授权绕过问题。 影响: 远程攻击者可能通过发送特殊构造的URL路径访问受中间件身份验证/授权控制保护的端点,导致未授权访问和数据泄露。 影响版本 确认受影响版本: 所有先于修复版本的版本均受影响 修复版本 已在发布时修复 详细说明 漏洞是由于 路径匹配和Fastify/find-my-way路线查找规范化之间存在规范化漂移造成的。 中间件和路由器没有在路由解析成功的情况下始终评估相同的规范化路径,导致身份验证中间件可能被跳过。 暂时解决方法 避免完全依赖路径作用域中间件进行身份验证/授权保护。 执行身份验证在路由级别处理程序/钩子在路由器规范化之后。 如果操作上可行,禁用高风险的规范化组合。 参考 Fluid Attacks披露政策: [](https://fluidattacks.com/advisories/policy) Fluid Attacks咨询URL: [](https://fluidattacks.com/advisories/jimenez) 严重程度 得分: 8.2 / 10 向量: Network / Low / Present / None / None / None / High / None 漏洞ID CVE: CVE-2026-2880 弱点: CWE-20 致谢 Cristian Vargas (Fluid Attacks研究团队) — 发现和报告。 Óscar Uribe (Fluid Attacks) — 协调和披露。 修复开发者 mcollina UlisesGascon