PT-2021-19954 · Unknown · Express-Handlebars
Agustin Gianni
+1
·
Publicado
2021-05-14
·
Atualizado
2024-03-06
·
CVE-2021-32820
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Express-handlebars (versões afetadas não especificadas)
Descrição
O parâmetro
layout no Express-handlebars pode desencadear vulnerabilidades de divulgação de arquivos em aplicativos a jusante, permitindo a inclusão de arquivos com extensões existentes. Arquivos sem extensão terão a extensão .handlebars anexada a eles. Esse problema está relacionado à mistura de dados de modelo puros com opções de configuração do mecanismo por meio da API de renderização do Express.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Code Injection
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Express-Handlebars