PT-2022-24942 · Unknown · @Keystone-6/Core
Austin Burdine
·
Publicado
2022-11-03
·
Atualizado
2022-11-04
·
CVE-2022-39382
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
@keystone-6/core versões 3.0.0 a 3.0.1
Descrição
O problema ocorre quando
NODE ENV é definido como “development” no código do usuário, independentemente das variáveis de ambiente. Isso afeta usuários que utilizam NODE ENV para acionar funcionalidades sensíveis à segurança em suas compilações de produção. As dependências do aplicativo, encontradas em node modules, normalmente não são compiladas e não devem ser afetadas. A vulnerabilidade foi corrigida no @keystone-6/core@3.0.2.Recomendações
Para as versões 3.0.0 a 3.0.1 do @keystone-6/core, atualize para @keystone-6/core@3.0.2 para resolver o problema.
Como solução alternativa temporária, considere remover qualquer código que utilize
NODE ENV de uma forma que possa impactar razoavelmente a segurança da aplicação.Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Keystone-6/Core