Vulnerabilidad en fastify-express de fastify (CVE-2026-22037)

El plugin @fastify/express añade compatibilidad completa con Express a Fastify. Existe una vulnerabilidad de seguridad en @fastify/express anterior a la versión 4.0.3 donde el middleware registrado con un prefijo de ruta específico puede ser eludido utilizando caracteres codificados en URL (p. ej., '/%61dmin' en lugar de '/admin'). Mientras que el motor de middleware no logra coincidir con la ruta codificada y omite la ejecución, el router subyacente de Fastify decodifica correctamente la ruta y coincide con el manejador de ruta, permitiendo a los atacantes acceder a puntos finales protegidos sin las restricciones del middleware. La vulnerabilidad es causada por cómo @fastify/express compara las solicitudes con las rutas de middleware registradas. Esta vulnerabilidad es similar a, pero difiere de, CVE-2026-22031 porque este es un módulo npm diferente con su propio código. La versión 4.0.3 de @fastify/express contiene un parche para el problema.