CVE-2026-2293
Critical(9.8)CVE-2026-2293 — NestJS Fastifyアダプタ認証バイパス
公開日: 2026-04-15データソース: NVD, GitHub Advisory
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|
| @nestjs/platform-fastify | NestJS | 11.1.13 |
対応ガイド
high|対応必須セキュリティ修正影響: 広範推奨アクション
- 1@nestjs/platform-fastifyを使用しているか確認する
- 2NestJS v11.1.14以降へアップデートする
- 3Fastifyのパス正規化オプション設定を確認する
影響対象
@nestjs/platform-fastify利用者
補足
- -@nestjs/platform-expressを使用している場合は影響ありません
関連するリリース情報
この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。
CVENestJSFastify認証バイパスnpm
概要
NestJSアプリケーションで @nestjs/platform-fastify を使用している場合、Fastifyのパス正規化オプションが有効になっていると認証・認可ミドルウェアをバイパスできる脆弱性が存在します。これにより、保護されたエンドポイントに対して認証なしでアクセスされる可能性があります。
CVSSベクトル
| 項目 | 値 |
|---|
| CVSSスコア | 9.8(Critical) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権 | なし |
| ユーザー関与 | 不要 |
| CWE | CWE-863(不正な認可) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|
| @nestjs/platform-fastify | NestJS | 11.1.13 |
修正バージョンと回避策
- 修正: NestJS v11.1.14以降へアップデート
- 回避策: Fastifyのパス正規化オプションを無効にする、または認証ロジックをミドルウェア以外の方法(Guards等)で実装する
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
