PT-2022-16878 · Npm+4 · Moment.Js+5

Ichernev

·

Publicado

2022-04-04

·

Atualizado

2026-06-04

·

CVE-2022-24785

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões 1.0.1 a 2.29.1 do Moment.js
Descrição
Uma vulnerabilidade de traversal de caminho afeta os usuários do Moment.js via npm (servidor), especialmente se uma string de localidade fornecida pelo usuário for usada diretamente para alterar a localidade do Moment. Essa falha permite que um invasor não autenticado forneça um caminho do sistema de arquivos como entrada inválida. O problema foi corrigido na versão 2.29.2.
Recomendações
Para as versões 1.0.1 a 2.29.1, atualize para a versão 2.29.2 para resolver o problema.
Como solução temporária, sanitize o nome de local fornecido pelo usuário antes de passá-lo para o Moment.js.

Exploit

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-27CWE-22

Identificadores relacionados

BDU:2026-00718
CVE-2022-24785
DLA-3295-1
GHSA-8HFJ-J24R-96C4
MGASA-2022-0323
MGASA-2024-0067
RHSA-2022:4918
RHSA-2022:4919
RHSA-2022:6272
RHSA-2022:6277
RHSA-2023:0076
RHSA-2023:1043
RHSA-2023:1044
RHSA-2023:1045
RHSA-2025:4226
RHSA-2025:4437
USN-5559-1

Produtos afetados

Astra Linux
Bitbucket
Confluence
Linuxmint
Moment.Js
Ubuntu