PT-2021-4674 · Unknown · Fastify-Static
Drstrnegth
·
Publicado
2021-10-06
·
Atualizado
2021-10-20
·
CVE-2021-22964
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:C |
Nome do software vulnerável e versões afetadas
fastify-static, versões 4.2.4 a 4.4.0
Descrição
Um problema de redirecionamento no módulo
fastify-static permite que invasores remotos redirecionem usuários do Mozilla Firefox para sites arbitrários por meio de uma barra dupla // seguida de um domínio. Por exemplo, http://localhost:3000//a//youtube.com/%2e%2e%2f%2e%2e. É possível ocorrer um problema de DOS se a URL contiver caracteres inválidos, como curl --path-as-is “http://localhost:3000//^/..”. O problema afeta aplicações fastify-static que definem a opção redirect: true, que é false por padrão.Recomendações
Para as versões 4.2.4 a 4.4.0 do fastify-static, atualize para a versão 4.4.1 para resolver o problema.
Como solução temporária, considere definir a opção
redirect como false até que a atualização seja aplicada.Como alternativa, limpe as URLs de entrada usando a opção de servidor
rewriteUrl se a atualização não for uma opção.Exploit
Correção
Resource Exhaustion
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fastify-Static