PT-2022-16137 · Unknown+1 · Class-Validator+3
Lumakernel
·
Publicado
2022-02-07
·
Atualizado
2023-07-13
·
CVE-2022-23623
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Frourio anteriores à v0.26.0
Descrição
O Frourio é uma estrutura full-stack para TypeScript. Os usuários que utilizam versões do Frourio anteriores à v0.26.0 e integram o class-validator por meio da pasta
validators/ estão sujeitos a um problema de validação de entrada. Os validadores não funcionam corretamente para corpos de solicitação e consultas em situações específicas, e algumas entradas não são validadas de forma alguma.Recomendações
Atualize o Frourio para a v0.26.0 ou posterior e instale
class-transformer e reflect-metadata.Como solução alternativa temporária, considere validar manualmente os objetos das solicitações com
class-transformer nos controladores ou evite usar validadores.Exploit
Correção
Prototype Pollution
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Frourio
Class-Transformer
Class-Validator
Reflect-Metadata