PT-2022-12976 · Unknown · Node-Forge
Publicado
2022-01-06
·
Atualizado
2022-01-21
·
CVE-2022-0122
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
versões do forge anteriores à 1.0.0
Descrição
O problema diz respeito a uma vulnerabilidade de redirecionamento de URL para sites não confiáveis. A funcionalidade
parseUrl no node-forge processa incorretamente certos usos da barra invertida, como https:///, e interpreta a URI como um caminho relativo. Isso pode levar a um comportamento indesejado devido à análise inadequada de certas entradas pela expressão regular usada na API forge.util.parseUrl.Recomendações
Para versões anteriores à 1.0.0, certifique-se de que o código não chame, direta ou indiretamente,
forge.util.parseUrl com entradas não confiáveis.Considere atualizar para a versão 1.0.0 ou posterior, na qual
forge.util.parseUrl e outras APIs de URL relacionadas foram removidas em favor da API Padrão de URL do WHATWG, mais moderna.Exploit
Correção
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Node-Forge