CVE-2022-2421

Versões do Socket.io anteriores à 4.5.2

Versões do Socket.io-client anteriores à 4.5.0

Versões do Socket.io-parser anteriores à 4.2.1

Versões do Socket.io-parser anteriores à 4.0.5

Versões do Socket.io-parser anteriores à 3.4.2

Versões do Socket.io-parser anteriores à 3.3.3

Devido à validação de tipo inadequada na análise de anexos na biblioteca Socket.io js, é possível sobrescrever o objeto placeholder, permitindo que um invasor insira referências a funções em locais arbitrários no objeto de consulta resultante. Essa vulnerabilidade pode ser explorada enviando-se pacotes maliciosos, como um número fora dos limites, um valor que não seja um número ou uma string que faça parte do protótipo de Array ou Object. Por exemplo, um invasor pode enviar um pacote com uma string como “push” ou “hasOwnProperty” para sobrescrever o objeto placeholder. Para mitigar essa vulnerabilidade, é essencial garantir que a carga útil recebida do cliente seja um objeto Buffer.

Para versões do Socket.io anteriores à 4.5.2, atualize para a versão 4.5.2 ou posterior.

Para versões do Socket.io-client anteriores à 4.5.0, atualize para a versão 4.5.0 ou posterior.

Para versões do Socket.io-parser anteriores à 4.2.1, atualize para a versão 4.2.1 ou posterior.

Para versões do Socket.io-parser anteriores à 4.0.5, atualize para a versão 4.0.5 ou posterior.

Para versões do Socket.io-parser anteriores à 3.4.2, atualize para a versão 3.4.2 ou posterior.

Para versões do Socket.io-parser anteriores à 3.3.3, atualize para a versão 3.3.3 ou posterior.

Como solução alternativa temporária, con