PT-2021-15300 · Unknown · Fastify-Static
Drstrnegth
·
Publicado
2021-10-05
·
Atualizado
2021-10-20
·
CVE-2021-22963
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do fastify-static anteriores à 4.2.4
Descrição
Uma falha de redirecionamento no módulo fastify-static permite que invasores remotos redirecionem usuários para sites arbitrários por meio de duas barras
// seguidas de um domínio. A falha afeta aplicações fastify-static que tenham a opção redirect: true definida. Por padrão, essa opção é false.Recomendações
Para versões anteriores à 4.2.4, atualize para a versão 4.2.4 ou posterior do fastify-static para resolver o problema.
Como solução alternativa temporária, considere usar a opção de servidor
rewriteUrl para sanitizar URLs de entrada caso a atualização não seja uma opção.Exploit
Correção
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fastify-Static