つみかさね

CVE-2026-2293

Critical(9.8)

CVE-2026-2293 — NestJS Fastifyアダプタ認証バイパス

公開日: 2026-04-15データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
@nestjs/platform-fastifyNestJS11.1.13

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1@nestjs/platform-fastifyを使用しているか確認する
  2. 2NestJS v11.1.14以降へアップデートする
  3. 3Fastifyのパス正規化オプション設定を確認する

影響対象

@nestjs/platform-fastify利用者

補足

  • -@nestjs/platform-expressを使用している場合は影響ありません

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

N
NestJS のリリース情報 →
CVENestJSFastify認証バイパスnpm

概要

NestJSアプリケーションで @nestjs/platform-fastify を使用している場合、Fastifyのパス正規化オプションが有効になっていると認証・認可ミドルウェアをバイパスできる脆弱性が存在します。これにより、保護されたエンドポイントに対して認証なしでアクセスされる可能性があります。

CVSSベクトル

項目
CVSSスコア9.8(Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権なし
ユーザー関与不要
CWECWE-863(不正な認可)

影響を受けるソフトウェア

製品ベンダー影響バージョン
@nestjs/platform-fastifyNestJS11.1.13

修正バージョンと回避策

  • 修正: NestJS v11.1.14以降へアップデート
  • 回避策: Fastifyのパス正規化オプションを無効にする、または認証ロジックをミドルウェア以外の方法(Guards等)で実装する

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-35515NestJS SSEストリーム インジェクションCVSS 5.3

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-2293
GitHub:https://github.com/nestjs/nest/releases/tag/v11.1.14
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。