PT-2022-16145 · Superjson+1 · Superjson+1
Paul Gerste
·
Publicado
2022-02-09
·
Atualizado
2024-01-09
·
CVE-2022-23631
CVSS v3.1
9.0
Crítica
| Vetor | AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do superjson anteriores à 1.8.1
Versões do Blitz.js anteriores à 0.45.3
Descrição
A vulnerabilidade permite que uma entrada execute código arbitrário em qualquer servidor que utilize o superjson sem autenticação prévia ou conhecimento. O único requisito é que o servidor implemente pelo menos um endpoint que utilize o superjson durante o processamento de solicitações. Isso pode levar ao controle total do servidor, permitindo que invasores roubem e manipulem dados ou ataquem outros sistemas.
Recomendações
Para versões do superjson anteriores à 1.8.1, atualize para o superjson 1.8.1.
Para versões do Blitz.js anteriores à 0.45.3, atualize para o Blitz.js 0.45.3 ou atualize apenas o superjson para a versão 1.8.1.
Como solução temporária, considere restringir o uso do superjson no processamento de solicitações até que um patch seja aplicado.
Exploit
Correção
Prototype Pollution
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Blitz.Js
Superjson