CVE-2022-25863

gatsby-plugin-mdx, versões 3.0.0 a 3.15.1

gatsby-plugin-mdx, versões 2.14.0 e anteriores

O plugin gatsby-plugin-mdx está vulnerável à deserialização de dados não confiáveis ao passar entradas para o pacote gray-matter, devido às suas configurações padrão que não incluem sanitização de entradas. Essa vulnerabilidade pode ser explorada ao passar entradas tanto no webpack (arquivos MDX em src/pages ou arquivos MDX importados como um componente no código front-end/React) quanto no modo de dados (consultando nós MDX via GraphQL). O JavaScript injetado é executado no contexto do servidor de compilação. Para explorar essa vulnerabilidade, entradas não confiáveis/não sanitizadas precisariam ser obtidas ou adicionadas a um arquivo MDX.

Para as versões 3.0.0 a 3.15.1 do gatsby-plugin-mdx, atualize para a versão 3.15.2 ou posterior.

Para as versões 2.14.0 e anteriores do gatsby-plugin-mdx, atualize para a versão 2.14.1 ou posterior.

Se for necessário usar uma versão mais antiga do gatsby-plugin-mdx, a entrada passada para o plugin deve ser sanitizada antes do processamento.

Como solução alternativa temporária, considere desativar a opção JSFrontmatterEngine para mitigar o risco de exploração.