PT-2021-22098 · Unknown · Serverless Offline
Publicado
2021-08-10
·
Atualizado
2022-07-12
·
CVE-2021-38384
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Serverless Offline versão 8.0.0
Descrição
O problema surge quando o Serverless Offline retorna um código de status HTTP 403 para uma rota com um caractere
/ no final, o que pode levar a uma implementação incorreta do controle de acesso por parte dos desenvolvedores. Essa discrepância ocorre porque o comportamento real no ambiente Amazon AWS resulta em um código de status HTTP 200, indicando permissões possivelmente maiores do que o esperado.Recomendações
Para o Serverless Offline versão 8.0.0, considere revisar e ajustar as configurações de controle de acesso para levar em conta a diferença nas respostas de código de status HTTP entre o ambiente de desenvolvimento local e o ambiente Amazon AWS. Como solução alternativa temporária, os desenvolvedores devem ter cautela ao implementar o controle de acesso com base no comportamento do ambiente de desenvolvimento local, garantindo que as permissões reais no ambiente AWS sejam totalmente compreendidas e configuradas corretamente.
Exploit
Correção
Incorrect Authorization
Improper Handling of Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Serverless Offline