PT-2022-16138 · Unknown · Class-Validator+3
Lumakernel
·
Publicado
2022-02-07
·
Atualizado
2023-07-13
·
CVE-2022-23624
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Frourio-express anteriores à v0.26.0
Descrição
O Frourio-express é uma estrutura full stack minimalista para TypeScript. Os usuários que utilizam versões do Frourio-express anteriores à v0.26.0 e integram o class-validator por meio da pasta
validators/ estão sujeitos a um problema de validação de entrada. Os validadores não funcionam corretamente para corpos de solicitação e consultas em situações específicas, e algumas entradas não são validadas de forma alguma.Recomendações
Atualize o Frourio-express para a v0.26.0 ou posterior.
Instale
class-transformer e reflect-metadata em seu projeto.Como solução temporária, considere validar objetos de solicitações com
class-transformer nos controladores por conta própria ou evite usar validadores.Exploit
Correção
Prototype Pollution
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Frourio-Express
Class-Transformer
Class-Validator
Reflect-Metadata