[github.com]🔒 セキュリティ★★★★★
NestJS Fastify アダプタ、末尾スラッシュでミドルウェア認証バイパス(CVE-2026-54281)
編集部まとめ
- CVE-2026-54281: NestJS Fastify アダプタで末尾スラッシュによる認証バイパス
- デフォルト設定の全 Fastify アダプタが対象・CRUD ルート保護も回避可能
- 修正版 @nestjs/platform-fastify@11.1.24 へ即アップデートで対処
NestJS の Fastify アダプタ(`@nestjs/platform-fastify`)に認証バイパスの脆弱性 CVE-2026-54281 が確認された。`MiddlewareConsumer.forRoutes()` で保護したルートに対し、リクエスト URL の末尾にスラッシュ(`/`)を付加するだけで未認証クライアントがミドルウェアをスキップできる。デフォルト設定の Fastify アダプタ全般が影響を受け、標準的な CRUD ルート(`GET /resource` / `GET /resource/:id`)を保護している場合も対象となる。修正済みバージョン `@nestjs/platform-fastify@11.1.24` へのアップデートで対処できる。
編集部の影響度コメント
`@nestjs/platform-fastify` を本番で使用しているチームは、バージョンを `11.1.24` に即アップデートし、認証ミドルウェアが適用されるルートへの不審なアクセスログ(末尾スラッシュ付きリクエスト)を遡って確認することを推奨する。パッチ適用前に緩和策として、Fastify のルーターオプションで末尾スラッシュを正規化するか、ガード(NestJS Guards)で二重チェックする対応も有効。