PT-2020-12917 · Divante · Vue-Storefront-Api+1
Gibkigonzo
·
Publicado
2020-04-17
·
Atualizado
2022-05-24
·
CVE-2020-11883
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Divante vue-storefront-api versões 1.11.1 e anteriores
Divante storefront-api versões 1.0-rc.1 e anteriores
Descrição
O problema decorre de solicitações HTTP inesperadas que levam a uma exceção, resultando na divulgação do rastreamento da pilha de erros. Esse rastreamento da pilha de erros inclui caminhos absolutos de arquivos e nomes de módulos do Node.js.
Recomendações
Para as versões 1.11.1 e anteriores do Divante vue-storefront-api, considere implementar o tratamento de erros para evitar a divulgação de informações confidenciais no rastreamento da pilha de erros.
Para as versões 1.0-rc.1 e anteriores do Divante storefront-api, restrinja o acesso a mensagens de erro que possam conter caminhos absolutos de arquivos e nomes de módulos Node.js para minimizar o risco de exploração.
Exploit
Correção
Information Disclosure
Generation of Error Message Containing Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Storefront-Api
Vue-Storefront-Api