CVE-2020-11020

Faye (NPM, RubyGem) versões superiores a 0.5.0 e anteriores a 1.0.4

Faye (NPM, RubyGem) versões 1.1.x anteriores a 1.1.3

Faye (NPM, RubyGem) versões 1.2.x anteriores a 1.2.5

A vulnerabilidade permite que qualquer cliente contorne as verificações implementadas por extensões do lado do servidor, anexando segmentos extras ao canal de mensagens. Isso é causado por um bug no código do servidor responsável pelo reconhecimento de canais especiais /meta/*. Um cliente pode contornar as verificações de autenticação enviando uma mensagem para um canal cujo prefixo corresponda a um dos canais especiais, como /meta/subscribe/x. Essa mensagem ainda será processada como uma solicitação de assinatura pelo servidor, permitindo que o cliente se inscreva em um canal sem fornecer as credenciais necessárias.

Para versões do Faye (NPM, RubyGem) maiores que 0.5.0 e anteriores à 1.0.4, atualize para a versão 1.0.4 ou posterior.

Para versões do Faye (NPM, RubyGem) 1.1.x anteriores à 1.1.3, atualize para a versão 1.1.3 ou posterior.

Para versões do Faye (NPM, RubyGem) 1.2.x anteriores à 1.2.5, atualize para a versão 1.2.5 ou posterior.

Como solução temporária, considere modificar as extensões para verificar se o canal de mensagens começa com o nome de canal esperado, em vez de correspondências exatas. Por exemplo, use message.channel.startsWith(‘/meta/subscribe’) em vez de message.channel === ‘/meta/subscribe’.