PT-2021-19918 · WordPress · Gatsby-Source-Wordpress
Mlgualtieri
·
Publicado
2021-07-15
·
Atualizado
2022-10-25
·
CVE-2021-32770
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do gatsby-source-wordpress anteriores à 4.0.8 e à 5.9.2
Descrição
O plugin gatsby-source-wordpress vaza variáveis de autenticação HTTP básica do arquivo .htaccess para o pacote app.js durante a compilação. Esse problema afeta usuários que inicializam credenciais de autenticação básica no arquivo gatsby-config.js. Foi introduzido um patch para mitigar o problema, filtrando todas as variáveis especificadas na seção
auth: { }.Recomendações
Para versões anteriores à 4.0.8, atualize para gatsby-source-wordpress@4.0.8, execute
gatsby clean seguido de gatsby build.Para versões anteriores à 5.9.2, atualize para gatsby-source-wordpress@5.9.2, execute
gatsby clean seguido de gatsby build.Como solução alternativa temporária, considere editar manualmente o arquivo app.js após a compilação para remover as credenciais vazadas.
Exploit
Correção
Information Disclosure
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gatsby-Source-Wordpress