CVE-2026-33732srvx是基于web标准的通用服务器。在0.11.13版本之前,其FastURL组件存在路径名解析差异漏洞。当攻击者发送使用非标准方案(如file://)的绝对URI的原始HTTP请求时,可导致Node.js适配器上的中间件被绕过。该漏洞允许攻击者规避安全检查,潜在地访问未授权路径或资源。官方已在0.11.13版本中通过回退到原生URL解析修复了此问题。
该漏洞的核心在于srvx项目中FastURL类对特定格式URI的解析逻辑存在缺陷。在受影响版本的Node.js适配器中,FastURL未能正确处理带有非标准协议头(例如file://或其他非http/https协议)的绝对路径请求。由于解析机制的不一致性,当请求包含此类非标准URI时,FastURL生成的路径对象可能与预期不符,导致原本应由中间件(如身份验证、访问控制列表或路由守卫)进行拦截和处理的请求被错误地放行。攻击者无需经过认证,即可构造特殊的恶意HTTP请求,利用这一解析差异直接绕过安全防线,访问受保护的内部接口或静态资源。修复方案是在FastURL构造函数中引入stricter check,对于所有不以/开头的字符串,强制回退到JavaScript原生的URL对象进行解析,从而确保路径处理的一致性并消除安全隐患。